Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Tipi di linee di base
Una *linea di base* in AWS Control Tower è un gruppo di risorse e configurazioni specifiche che puoi applicare a un target. L'obiettivo di base più comune può essere un'unità organizzativa (OU). Ad esempio, puoi abilitare una linea di base con un'unità organizzativa selezionata come destinazione, per registrarla in AWS Control Tower.
Durante la configurazione della landing zone, alcune linee di base potrebbero essere abilitate automaticamente sull'account condiviso. Alcune linee di base possono essere abilitate e aggiornate in base alle impostazioni e alle configurazioni della landing zone. AWS Control Tower crea e distribuisce le risorse verso l'obiettivo nel modo specificato dalla baseline.
Quando abiliti una linea di base su una destinazione, la baseline viene rappresentata come una risorsa AWS, chiamata risorsa`EnabledBaseline`.
AWS Control Tower include due tipi generali di linee di base:
+ Linee di base che possono essere abilitate su un'unità organizzativa.
+ Linee di base che possono essere abilitate sull'account condiviso, durante la configurazione della landing zone.
## Tipi di base applicabili a livello di unità organizzativa
**Nota**
Solo le linee di base applicabili a livello di unità organizzativa possono essere abilitate direttamente con l'API. `EnableBaseline`
+ **Nome:** `AWSControlTowerBaseline`
**Descrizione**: questa baseline imposta le risorse e i controlli per gli account dei membri all'interno dell'unità organizzativa di destinazione, necessari per il monitoraggio della conformità, il controllo, il monitoraggio della sicurezza e, facoltativamente, la gestione degli accessi. Questa linea di base è abilitata quando registri un'unità organizzativa in AWS Control Tower.
**Prerequisito**: l'integrazione con AWS Config deve essere abilitata nella landing zone di AWS Control Tower.
**Considerazione**: questa linea di base mantiene le impostazioni della landing zone **Region deny** control. In altre parole, se una regione non è autorizzata a livello di landing zone, tale regione non è autorizzata per quell'unità organizzativa quando si chiama l'`EnableBaseline`API per registrare un'unità organizzativa.
**Nota**
La regione negata al controllo a livello dell'UE non ha modo di autorizzare le regioni che la regione negato il controllo della landing zone non consente.
Per ulteriori informazioni, consulta [How SCPs work with deny](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#how_scps_deny) nella documentazione. AWS Organizations
**Raccomandazione**: ti consigliamo di confermare le regioni in cui l'unità organizzativa di destinazione potrebbe eseguire carichi di lavoro e di confrontare i risultati con la landing zone Region deny control prima di chiamare l'`EnableBaseline`API per l'unità organizzativa, altrimenti potresti perdere l'accesso alle risorse in determinate regioni.
+ **Nome:** `ConfigBaseline`
**Descrizione**: questa linea di base configura le risorse relative ad AWS Config per gli account dei membri all'interno dell'unità organizzativa di destinazione necessarie per l'abilitazione di Detective Controls. Le risorse impostate sono un sottoinsieme di risorse di. AWSControl TowerBaseline
**Prerequisito**: l'integrazione con AWS Config deve essere abilitata nella landing zone di AWS Control Tower.
**Considerazione**: questa linea di base non mantiene le impostazioni della landing zone Region deny control. Il Region Deny Control non verrà abilitato come parte dell'attivazione. ConfigBaseline
**Limitazione**: AWSControl TowerBaseline e ConfigBaseline non può essere abilitato sulla stessa unità organizzativa. Solo una di esse è consentita su un'unità organizzativa.
+ **Nome:** `BackupBaseline`
**Descrizione**: questa linea di base imposta le risorse e i controlli per gli account dei membri all'interno dell'unità organizzativa di destinazione. Questi sono necessari affinché l'integrazione con AWS Backup possa automatizzare il backup dei dati e centralizzare Servizi AWS la gestione delle policy di backup.
**Prerequisiti:**
+ L'integrazione con AWS Backup deve essere abilitata nella landing zone di AWS Control Tower.
+ L'integrazione con AWS Config deve essere abilitata nella landing zone di AWS Control Tower.
+ `AWSControlTowerBaseline`deve essere abilitato sull'unità organizzativa di destinazione.
**Considerazione**: prima di abilitare l'`BackupBaseline`unità organizzativa di destinazione, assicurati che `AWSControlTowerBaseline` sia abilitata sull'unità organizzativa di destinazione. Cioè, l'unità organizzativa di destinazione deve essere registrata in AWS Control Tower.
+ Puoi scegliere di attivarla AWS Backup durante il processo di creazione della landing zone AWS Control Tower o durante un processo di aggiornamento della landing zone.
+ `BackupBaseline`È compatibile con le versioni 3.1 e successive della landing zone.
+ Non `BackupBaseline` viene applicato all'account di gestione.
## Tipi di base che possono essere applicati all'account condiviso durante la configurazione della landing zone
AWS Control Tower abilita determinate linee di base sull'account condiviso, come parte del processo di configurazione e aggiornamento delle landing zone. Le linee di base per la tua landing zone possono cambiare man mano che modifichi le impostazioni della landing zone. Ad esempio, se opti per IAM Identity Center, AWS Control Tower può abilitare l'ultima versione della `IdentityCenterBaseline` baseline sulla tua landing zone.
Puoi visualizzare le linee di base abilitate per la tua landing zone con la chiamata `ListEnabledBaselines` API.
**Nota**
A partire dalla versione 4.0 di Landing Zone, AuditBaseline viene sostituita da due linee di base distinte: e. `CentralSecurityRolesBaseline` `CentralConfigBaseline`
+ **Nome:** `CentralConfigBaseline`
**Descrizione**: configura risorse centrali per il monitoraggio e il controllo della conformità all'interno dell'organizzazione utilizzando AWS Config.
+ **Nome:** `CentralSecurityRolesBaseline`
**Descrizione**: configura risorse centrali per il monitoraggio della sicurezza all'interno dell'organizzazione.
+ **Nome:** `AuditBaseline`
**Descrizione**: configura le risorse per monitorare la sicurezza e la conformità degli account dell'organizzazione.
+ **Nome:** `LogArchiveBaseline`
**Descrizione**: configura un archivio centrale per i registri delle attività delle API e delle configurazioni delle risorse degli account dell'organizzazione.
+ **Nome:** `IdentityCenterBaseline`
**Descrizione**: configura risorse condivise per IAM Identity Center, che prepara l'accesso `AWSControlTowerBaseline` a Identity Center per gli account.
**Considerazione**: questa linea di base funziona solo se hai selezionato IAM Identity Center come provider di identità al momento della configurazione iniziale della landing zone, o se successivamente modifichi le impostazioni della landing zone per abilitare IAM Identity Center per la tua landing zone. Se utilizzi un provider di identità diverso, non avrai accesso per abilitare questa linea di base.
+ **Nome:** `BackupCentralVaultBaseline`
**Descrizione**: configura il AWS Backup vault centrale dell'organizzazione.
+ **Nome:** `BackupAdminBaseline`
**Descrizione**: configura l'amministratore delegato e l' AWS Backup Audit Manager.
# Registrazione parziale degli account
**Quando si utilizzano le linee di base, è possibile inserire un account in uno stato denominato Registrato parzialmente.**
Questo stato può verificarsi se registri nuovamente un'unità organizzativa chiamando l'`ResetEnabledBaseline`API, poiché AWS Control Tower applica solo le risorse obbligatorie agli account nell'unità organizzativa di destinazione. Un account a cui mancano le risorse (controlli) opzionali per l'unità organizzativa principale è contrassegnato come **Parzialmente registrato**.
Se sposti un account non registrato in un'unità organizzativa registrata e poi richiami l'`ResetEnabledBaseline`API sull'unità organizzativa per registrare quell'account, AWS Control Tower applica le risorse associate `AWSControlTowerBaseline` all'account appena registrato. Tuttavia, i controlli opzionali abilitati per questa unità organizzativa non vengono applicati all'account. L'account rimane in uno stato di **registrazione parziale**.
Per registrare completamente l'account, scegli **Registra nuovamente** o **Aggiorna l'account nella console**. Quando selezioni queste operazioni dalla console, AWS Control Tower applica tutte le risorse di quell'unità organizzativa all'account appena registrato, inclusi i controlli opzionali attivati per quell'unità organizzativa.
# Variazione nelle operazioni tra la console AWS Control Tower e le linee di APIs base
Quando modifichi lo stato di governance di un'unità organizzativa, la console AWS Control Tower esegue automaticamente più operazioni per te, rispetto alla modifica della governance tramite le quattro APIs linee di base.
**Differenze**
+ **Registrazione e fornitura dei prodotti**
Quando registri un'unità organizzativa tramite la console, AWS Control Tower crea prodotti Service Catalog per gli account dei membri dell'unità organizzativa, come parte della registrazione di ciascun account. Quando si registra un'unità organizzativa tramite l'`EnableBaseline`API e`AWSControlTowerBaseline`, AWS Control Tower non crea prodotti forniti per gli account dei membri nell'unità organizzativa.
+ **Annullare la registrazione di un'unità organizzativa**
Ogni volta che annulli la registrazione di un'unità organizzativa, devi prima rimuovere tutti gli account dei membri e annidarli. OUs Quindi, AWS Control Tower rimuove tutti i controlli applicati all'unità organizzativa.
+ Se si seleziona **Elimina l'unità organizzativa** dalla console, AWS Control Tower procede all'annullamento della registrazione e quindi all'eliminazione dell'unità organizzativa dall'organizzazione.
+ Tuttavia, se annulli la registrazione dell'unità organizzativa chiamando l'`DisableBaseline`API per rimuoverla `AWSControlTowerBaseline` dall'unità organizzativa, AWS Control Tower non elimina l'unità organizzativa dall'organizzazione, ma è ancora presente nell'organizzazione, non registrata.
## Linee di base e account dei membri abilitati
Quando si abilita una baseline su un'unità organizzativa, tale configurazione viene ereditata dagli account membri dell'unità organizzativa. A causa del fatto di ereditarietà, quando ci riferiamo all'account la chiamiamo *baseline abilitata ai figli*. *La linea di base applicata all'unità organizzativa è denominata baseline abilitata ai genitori.* La baseline abilitata al genitore controlla la configurazione delle relative linee di base abilitate per i figli. È simile al modo in cui un controllo, quando abilitato su un'unità organizzativa, si applica a ogni account all'interno dell'unità organizzativa.
**Visualizza lo stato di base di un account**
AWS Control Tower non consente di indirizzare gli account direttamente con linee di base. Tuttavia, puoi monitorare lo stato di attivazione e di deviazione di ciascun account membro utilizzando le linee di base ereditate relative all'abilitazione dei figli. Per visualizzare lo stato dei tuoi account, puoi chiamare l'API con il [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html)flag di funzionalità. `includeChildren`
**Disattiva la linea di base di un account**
AWS Control Tower non consente di disabilitare una baseline abilitata per i figli collegata a una baseline abilitata per i genitori. Una linea di base abilitata ai figli può essere disabilitata se è stata modificata in base all'ereditarietà e non è più collegata a una linea di base abilitata ai genitori.
## Linee di base e impostazioni predefinite per il controllo delle versioni
Se la tua landing zone AWS Control Tower è già configurata e scegli di abilitare una landing zone di base, AWS Control Tower abilita la versione più recente della linea di base compatibile con la versione della tua landing zone. Se scegli di abilitare una baseline per un'unità organizzativa che non è già registrata presso AWS Control Tower, AWS Control Tower fornisce automaticamente l'ultima versione compatibile della linea di base per quell'unità organizzativa.
# Compatibilità delle versioni di base delle unità organizzative e delle landing zone
Le linee di base di AWS Control Tower ti consentono di impostare uno standard di governance a livello di unità organizzativa, anziché a livello di landing zone, se la tua azienda lo richiede. La linea di base chiamata `AWSControlTowerBaseline` è disponibile per aiutarti a registrarti OUs con AWS Control Tower.
**Nota**
Una *baseline* è un gruppo di controlli e risorse che collaborano per stabilire un ambiente di governance stabile all'interno della landing zone.
Quando abiliti una baseline su un'unità organizzativa, richiamando l'`EnableBaseline`API in AWS Control Tower, devi specificare una versione di base compatibile con la versione corrente della landing zone di AWS Control Tower. Dopo aver specificato una linea di base, tutti gli account dei membri di un'unità organizzativa seguono la linea di base fornita per l'unità organizzativa. In altre parole, ai nuovi account viene fornita la linea di base aggiornata e gli account dei membri esistenti vengono regolati in base alla nuova linea di base.
Se non selezioni una linea di base per i tuoi account esistenti OUs e quelli esistenti, la versione della landing zone determina l'intera posizione di governance, per impostazione predefinita. Tuttavia, a ciascuna unità organizzativa registrata nella zona di atterraggio viene assegnata una versione di base, che è la versione di base più recente compatibile con la versione corrente della landing zone. Pertanto, a ciascuna unità organizzativa e a ogni account membro registrato è associata una linea di base, anche se non viene mai assegnata una linea di base specifica.
Per quanto riguarda la linea di base a livello di unità organizzativa`AWSControlTowerBaseline`, la tabella che segue mostra la compatibilità delle linee di base con le versioni delle landing zone di AWS Control Tower.
| **Versione di base** | **Versioni della zona di atterraggio** | **Progetti inclusi** | **Modifica rispetto alla linea di base precedente** |
| --- | --- | --- | --- |
| 1.0 | Da 2,0 a 2,7 | BP\$1BASELINE\$1CLOUDTRAIL, BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, risorse IAM | Nessuno |
| 2.0 | da 2,8 a 2,9 | BP\$1BASELINE\$1CLOUDTRAIL, BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, risorse IAM | Aggiunto il ruolo AWS Config collegato al servizio (SLR) e nuovo blueprint Config per utilizzare la SLR |
| 3.0 | Da 3.0 a 3.1 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, risorse IAM | Nuovo AWS Config progetto. Passa alla registrazione delle risorse globali solo nella regione d'origine. CloudTrail Blueprint rimosso |
| 4.0 | da 3.2 a 3.3 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, risorse IAM | Nuovo modello SLR |
| 5.0 | 4.0 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, risorse IAM | Autorizzazioni di aggregazione AWS Config rimosse. L'autorizzazione di AWS Config Aggregation da ciascun account membro non è necessaria poiché la LandingZone versione 4.0 ha adottato AWS Organizations Config Aggregator, che ha accesso a tutti gli account dei membri all'interno dell'organizzazione. |
Per ulteriori informazioni sulle risorse specifiche create negli account quando configuri la landing zone, consulta [Risorse create negli account condivisi](https://docs.aws.amazon.com//controltower/latest/userguide/shared-account-resources.html).
**Se aggiorni la landing zone a una versione che supporta una versione di `AWSControlTowerBaseline` base più recente e la nuova versione della landing zone è compatibile con la versione di base esistente, lo stato dell'unità organizzativa cambia in Update available.**
+ Puoi continuare a utilizzare account factory e altre funzionalità senza aggiornare immediatamente la baseline dell'unità organizzativa, tranne nel caso di un aggiornamento della landing zone dalla 2.x alla 3.x.
+ I nuovi account registrati in questa unità organizzativa ricevono risorse basate sulla versione di base esistente fino all'aggiornamento della versione di base (con la funzionalità **Extend governance** nella console o tramite l'API). `UpdateEnabledBaseline`
+ Dopo aver aggiornato la versione di base, tutti gli account all'interno di quell'unità organizzativa ricevono risorse in base alla nuova versione di base.
**Nota**
Se aggiorni la landing zone di AWS Control Tower da qualsiasi versione 2.X a qualsiasi versione 3.X, devi aggiornare anche la versione di base sul tuo OUs, a causa del passaggio dai trail a livello di account a quelli a livello di organizzazione. AWS CloudTrail **Nella console, l'unità organizzativa mostrerà lo stato di Aggiornamento richiesto.**
**Considerazioni relative alle linee di base**
+ Se l'unità organizzativa richiede un aggiornamento di base, non è possibile fornire nuovi account o registrare account esistenti in tale unità organizzativa.
+ Dopo un aggiornamento della landing zone, se prevedi di aggiornare anche una baseline dell'unità organizzativa, devi registrare nuovamente l'unità organizzativa o aggiornare la versione di base dell'unità organizzativa a livello di codice.
+ Ti consigliamo di eseguire l'aggiornamento alla versione di base più compatibile per la versione di landing zone che stai utilizzando, in modo da ottenere tutti i vantaggi della landing zone e della baseline combinati. Ad esempio, se esegui l'aggiornamento alla versione 3.3 della landing zone, puoi continuare a utilizzare la baseline 3.0, ma non otterrai tutti i vantaggi della versione 3.3 della landing zone a meno che non esegui anche l'aggiornamento alla baseline 4.0.
+ Gli aggiornamenti di base non possono essere ripristinati.
+ L'abilitazione di base si rivolge a un'unità organizzativa alla volta. Pertanto, i nidificati non OUs vengono aggiornati automaticamente quando viene aggiornata l'unità organizzativa principale. Si consiglia di aggiornare l'unità organizzativa principale prima di aggiornare quella OUs nidificata.
+ Quando chiami l'`UpdateEnabledBaseline`API o registri nuovamente un'unità organizzativa dalla console, l'unità organizzativa conserva tutti i controlli abilitati prima dell'aggiornamento di base.
+ Se più versioni di base sono compatibili con la versione della landing zone, è necessario utilizzare la versione di base più recente se si abilita una linea di base su un'unità organizzativa non gestita.
# Esempi: registra un'unità organizzativa AWS Control Tower APIs solo con
Questa guida dettagliata di esempi è un documento complementare. Per spiegazioni, avvertenze e ulteriori informazioni, vedere. [Tipi di linee di base](types-of-baselines.md)
**Prerequisiti**
È necessario disporre di un'unità organizzativa esistente che non sia registrata presso AWS Control Tower e che desideri registrare. In alternativa, è necessario disporre di un'unità organizzativa registrata che si desidera registrare nuovamente ai fini dell'aggiornamento.
**Registrare un'unità organizzativa**
1. Controlla se `IdentityCenterBaseline` è abilitato per la landing zone. In tal caso, ottieni l'identificatore Identity Center Enabled Baseline.
```
aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'
```
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==``].[arn]'
```
1. Ottieni l'ARN dell'unità organizzativa di destinazione.
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. Ottieni l'ARN della linea di base. `AWSControlTowerBaseline`
```
aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]'
```
1. Crea la linea di `AWSControlTowerBaseline` base sull'unità organizzativa di destinazione.
*Se la linea di base di Identity Center è abilitata:*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":""}]'
```
*Se Identity Center Baseline non è abilitata, ometti il `parameters` flag, come segue:*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier
```
**Registrare nuovamente un'unità organizzativa**
Dopo aver aggiornato le impostazioni della landing zone o aver aggiornato la versione della landing zone, devi **registrarti nuovamente** OUs per fornire loro le ultime modifiche. Segui questi passaggi per registrare nuovamente un'unità organizzativa a livello di codice, reimpostando la risorsa associata e tutte le risorse associate`EnabledBaseline`. `EnabledControl`
**Importante**
Se l'unità organizzativa ha i controlli opzionali abilitati, è inoltre necessario chiamare l'[https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)API per ogni controllo opzionale abilitato dopo aver ripristinato la linea di base. Questo passaggio garantisce che i controlli opzionali rimangano coerenti con l'ultima configurazione della landing zone. Se salti questo passaggio, i controlli opzionali sull'unità organizzativa potrebbero non riflettere le ultime modifiche alla landing zone. Se non hai alcun controllo opzionale abilitato, questo passaggio non è necessario.
1. Ottieni l'ARN dell'unità organizzativa di destinazione per registrarti nuovamente.
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. Ottiene l'ARN della `EnabledBaseline` risorsa per l'unità organizzativa di destinazione.
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==``].[arn]'
```
1. Reimposta la linea di base abilitata.
```
aws controltower reset-enabled-baseline --enabled-baseline-identifier
```
1. Se l'unità organizzativa ha i controlli opzionali abilitati, elenca i controlli abilitati per l'unità organizzativa e ripristina ciascuno di essi in modo che rimangano coerenti con l'ultima configurazione della landing zone.
Elenca i controlli abilitati sull'unità organizzativa di destinazione:
```
aws controltower list-enabled-controls --target-identifier
```
Per ogni controllo opzionale abilitato restituito, ripristinalo chiamando:
```
aws controltower reset-enabled-control --enabled-control-identifier
```
Per ulteriori informazioni, consulta l'[ResetEnabledControl](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)articolo *AWS Control Tower API Reference*.
# Esempi di utilizzo delle API di base
Questa sezione contiene esempi di parametri di input e output per la baseline APIs di AWS Control Tower.
## `DisableBaseline`
Per ulteriori informazioni su questo funzionamento dell'API, consulta [DisableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_DisableBaseline.html).
`DisableBaseline`ingresso:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789"
}
```
`DisableBaseline`uscita:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
Esempi di `DisableBaseline` CLI:
```
aws controltower disable-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789 \
--region us-west-2
```
## `EnableBaseline`
Per ulteriori informazioni su questo funzionamento dell'API, consulta [EnableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_EnableBaseline.html).
`EnableBaseline`ingresso:
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"baselineVersion": "3.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
`EnableBaseline`output, restituendo una nuova risorsa:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAGF7TNOHRD7ES5VV"
}
```
Esempi di `EnableBaseline` CLI:
Questo esempio mostra l'abilitazione di una linea di base per un' AWS Organizations organizzazione che ha la landing zone abilitata all'accesso a AWS IAM Identity Center, gestito da AWS Control Tower. Per recuperare l'`EnabledBaseline`identificatore dell'Identity Center, puoi chiamare l'`ListEnabledBaselines`API, filtrando in base alla linea di base di Identity Center: `(arn:aws:controltower:Region::baseline/LN25R72TTG6IGPTQ)`
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
La risposta mostrerà il `EnabledBaseline` dettaglio, che mostra il relativo identificatore.
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ",
"targetIdentifier": "arn:aws:organizations::123456789012:account/o-aq21sw43de5/123456789012",
"statusSummary": {
"status": "SUCCEEDED"
}
}
]
}
```
**Nota**
Prendi nota del valore ARN della risposta e passa questo valore come parametro per abilitare la linea di base predefinita.
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```
Per un'organizzazione con la landing zone disattivata dalla gestione di AWS Control Tower di IAM Identity Center, abilita la linea di base senza il parametro.
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--region us-west-2
```
## `GetBaseline`
Per ulteriori informazioni su questo funzionamento dell'API, consulta. [GetBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaseline.html)
`GetBaseline`ingresso:
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2"
}
```
`GetBaseline`uscita:
```
{
"arn": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance.",
}
```
Esempi di `GetBaseline` CLI:
```
aws controltower get-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `GetBaselineOperation`
Per ulteriori informazioni su questo funzionamento dell'API, consulta [GetBaselineOperation](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaselineOperation.html).
`GetBaselineOperation`ingresso:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
`GetBaselineOperation`uscita:
```
{
"baselineOperation": {
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"operationType": "DISABLE_BASELINE",
"status": "FAILED",
"startTime": "2023-01-12T19:05:00Z",
"endTime": "2023-01-12T19:45:00Z",
"statusMessage": "Can't perform DisableBaseline on a parent target with governed child OUs"
}
}
```
Esempi di `GetBaselineOperation` CLI:
```
aws controltower get-baseline-operation \
--operation-identifier 58f12232-26be-4735-a3e9-dd30d90f021f \
--region us-west-2
```
## `GetEnabledBaseline`
Per ulteriori informazioni su questo funzionamento dell'API, consulta [GetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetEnabledBaseline.html).
`GetEnabledBaseline`ingresso:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
```
`GetEnabledBaseline`uscita:
```
{
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
}
```
Esempi di `GetEnabledBaseline` CLI:
```
aws controltower get-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `ListBaselines`
Per ulteriori informazioni su questo funzionamento dell'API, consulta [ListBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListBaselines.html).
`ListBaselines`input (utilizzando input opzionali):
```
{
"nextToken": "AbCd1234",
"maxResults": "4"
}
```
`ListBaselines`uscita:
```
{
"baselines": [
{
"arn": "arn:aws:controltower:us-east-1::baseline/4T4HA1KMO10S6311",
"name": "AuditBaseline",
"description": "Sets up resources to monitor security and compliance of accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/J8HX46AHS5MIKQPD",
"name": "LogArchiveBaseline",
"description": "Sets up a central repository for logs of API activities and resource configurations from accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/LN25R72TTG6IGPTQ",
"name": "IdentityCenterBaseline",
"description": "Sets up shared resources for AWS Identity Center, which prepares the AWSControlTowerBaseline to set up Identity Center access for accounts."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/3WPD0NA6TJ9AOMU2",
"name": "BackupCentralVaultBaseline",
"description": "Sets up central AWS Backup vault in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/H6C5JFCJJ3CPU3J5",
"name": "BackupManagerBaseline",
"description": "Sets up delegated admin and AWS Backup Audit Manager."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"name": "BackupBaseline",
"description": "Sets up local Backup vault and attach Backup policy."
}
]
}
```
Esempi di `ListBaselines` CLI:
```
aws controltower list-baselines \
--region us-west-2
```
## `ListEnabledBaselines`
L'`ListEnabledBaselines`API dispone di un parametro opzionale che consente di visualizzare le linee di base applicate agli account membri di un'unità organizzativa. Gli esempi che seguono mostrano alcuni comandi CLI che è possibile utilizzare per visualizzare le linee di base di un account. AWS Control Tower fa riferimento a queste linee di base, che sono abilitate sull'unità organizzativa, ma si applicano a ciascun account all'interno dell'unità organizzativa, come *linee di base abilitate ai bambini*, poiché derivano la loro configurazione di governance dalle linee di base applicate all'unità organizzativa.
Per ulteriori informazioni sul funzionamento di questa API, consulta. [ListEnabledBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html)
`ListEnabledBaselines`input per mostrare le linee di base abilitate ai bambini:
```
aws controltower list-enabled-baselines --include-children
```
`ListEnabledBaselines`output per visualizzare le linee di base abilitate ai bambini:
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XO2UQ1PC6BB5085S5",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "07d6d2b8-e357-4f96-ba00-98ea88143445",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:ou/o-vaex10vaey/ou-k86y-ld9k8vpu"
},
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XAFPKQQXOJB50ZWQH",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"parentIdentifier": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XOIZ4G08CWB50ZWON",
"statusSummary": {
"lastOperationIdentifier": "3508793e-48c8-4895-965b-3dc6abd52b6b",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:account/o-vaex10vaey/183295447314"
}
]
```
**Nota**
Nell'esempio precedente, il `parentIdentifier` campo mostra la linea di base abilitata dell'unità organizzativa principale per questa baseline abilitata al figlio.
Visualizza tutte le linee di base applicate a un obiettivo specifico (unità organizzativa o account):
```
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["TARGET_ARN"]
}
```
Visualizza tutti quelli OUs che hanno una linea di base specifica:
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}'
```
Visualizza tutti OUs gli account che hanno una linea di base specifica:
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}' \
--include-children
```
Visualizza tutti gli account in un'unità organizzativa con Baseline B abilitata:
```
### First fetch the enabled baseline record for Baseline B on the OU
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["OU_TARGET_ARN"],
"baselineIdentifiers": ["BASELINE_ARN_FOR_BASELINE_B"]
}'
### Call ListEnabled baseline to fetch all accounts that have their parent as the enabled baseline record on the OU
aws controltower list-enabled-baselines \
--filter '{
"parentIdentifiers": ["ENABLED_BASELINE_ARN_FOR_OU"]
}' \
--include-children
```
**Ulteriori informazioni sulle linee di base abilitate ai bambini**
È possibile utilizzare l'`GetEnabledBaseline`API per visualizzare informazioni dettagliate su una specifica baseline abilitata ai bambini
È possibile utilizzare l'`GetBaselineOperation`API per visualizzare un'operazione eseguita sulla baseline abilitata ai figli
Non è possibile richiamare direttamente alcuna scrittura APIs, ad esempio `ResetEnabledBaseline` o `EnableBaseline` `UpdateEnabledBaseline``DisableBaseline`, su una baseline abilitata per i figli.
Le risorse di base abilitate ai bambini possono essere modificate solo tramite il servizio AWS Control Tower, tramite operazioni eseguite sull'unità organizzativa principale o tramite Account Factory.
Esempi di utilizzo dei filtri:
`ListEnabledBaselines`input (senza filtri):
```
{
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines`input (solo `baselineIdentifiers` filtro):
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2', 'arn:aws:controltower:us-east-1::baseline/12GZU8CKZKVMS2AW']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines`input (solo `targetIdentifiers` filtro):
```
{
"filter": {
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317', 'arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-11q6n2cf']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 2
}
```
`ListEnabledBaselines`input (`baselineIdentifiers`e `targetIdentifiers` filtri):
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2']
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines`uscita:
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
},
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "4.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317",
"statusSummary": {
"status": "FAILED",
"lastOperationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
}
],
"nextToken": "e2bXXXXX6cab"
}
```
Esempio di CLI con un tipo di filtro (`baselineIdentifiers`filtro):
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2,arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
Esempio di CLI che utilizza più filtri (`baselineIdentifiers`e `targetIdentifiers` filtri):
```
aws controltower list-enabled-baselines \
--filter targetIdentifiers=arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65,baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `ResetEnabledBaseline`
Per ulteriori informazioni su questo funzionamento dell'API, vedere [ResetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html).
`ResetEnabledbaseline`ingresso:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL"
}
```
`ResetEnabledBaseline`uscita:
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
Esempi di `ResetEnabledBaseline` CLI:
```
aws controltower reset-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `UpdateEnabledBaseline`
Per ulteriori informazioni su questo funzionamento dell'API, consulta [UpdateEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_UpdateEnabledBaseline.html).
`UpdateEnabledBaseline`ingresso:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineVersion": "4.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
`UpdateEnabledBaseline`uscita:
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
Esempi di `UpdateEnabledBaseline` CLI:
```
aws controltower update-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--baseline-version 4.0
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```