翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ベースラインのタイプ
AWS Control Tower の*ベースライン*は、ターゲットに適用できるリソースと特定の設定のグループです。最も一般的なベースラインターゲットは、組織単位 (OU) です。例えば、ターゲットとして選択した OU でベースラインを有効にして、その OU を AWS Control Tower に登録できます。
ランディングゾーンの設定中に、一部のベースラインが共有アカウントで自動的に有効になる場合があります。ランディングゾーンの設定と構成に基づいて、特定のベースラインを有効にして更新できます。AWS Control Tower は、ベースラインで指定された方法でリソースを作成してターゲットにデプロイします。
ターゲットでベースラインを有効にすると、ベースラインは リソースと呼ばれる AWS `EnabledBaseline`リソースとして表されます。
AWS Control Tower には、一般的なベースラインタイプが 2 つあります。
+ OU で有効にできるベースライン。
+ ランディングゾーンのセットアップ中に共有アカウントで有効にできるベースライン。
## OU レベルで適用されるベースラインタイプ
**注記**
`EnableBaseline` API で直接有効にできるのは、OU レベルで適用されるベースラインのみです。
+ **名前**: `AWSControlTowerBaseline`
**説明**: このベースラインは、コンプライアンスモニタリング、監査、セキュリティモニタリング、およびオプションでアクセス管理に必要な、ターゲット OU 内のメンバーアカウントのリソースとコントロールを設定します。このベースラインは、AWS Control Tower に OU を登録すると有効になります。
**前提条件**: AWS Control Tower ランディングゾーンで AWS Config 統合を有効にする必要があります。
**考慮事項**: このベースラインは、ランディングゾーンの**リージョン拒否**コントロールの設定を保持します。つまり、リージョンがランディングゾーンレベルで許可されていない場合、`EnableBaseline` API を呼び出して OU を登録する際に、そのリージョンはその OU に対して許可されません。
**注記**
OU レベルのリージョン拒否コントロールは、ランディングゾーンのリージョン拒否コントロールが許可しないリージョンを許可することはできません。
詳細については、 AWS Organizations ドキュメントの「How [ SCPs work with deny](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#how_scps_deny)」を参照してください。
**推奨事項**: ターゲット OU がワークロードを実行している可能性のあるリージョンを確認し、その結果をランディングゾーンのリージョン拒否コントロールに対してチェックしてから、OU の `EnableBaseline` API を呼び出すことをお勧めします。そうしないと、特定のリージョンのリソースにアクセスできなくなる可能性があります。
+ **名前**: `ConfigBaseline`
**説明**: このベースラインは、Detective Controls の有効化に必要なターゲット OU 内のメンバーアカウントの AWS Config 関連リソースを設定します。セットアップされたリソースは、AWSControlTowerBaseline のリソースのサブセットです。
**前提条件**: AWS Control Tower ランディングゾーンで AWS Config 統合を有効にする必要があります。
**考慮事項**: このベースラインは、ランディングゾーンリージョン拒否コントロールの設定を保持しません。リージョン拒否コントロールは、ConfigBaseline の有効化の一部として有効になりません。
**制限**: AWSControlTowerBaseline と ConfigBaseline を同じ OU で有効にすることはできません。OU では、そのうちの 1 つだけが許可されます。
+ **名前**: `BackupBaseline`
**説明**: このベースラインは、ターゲット OU 内のメンバーアカウントのリソースとコントロールを設定します。これらは、 との統合 AWS Backup によってデータのバックアップが自動化され AWS のサービス、バックアップポリシー管理が一元化されるようにするために必要です。
**前提条件**:
+ AWS Backup 統合は、AWS Control Tower ランディングゾーンで有効にする必要があります。
+ AWS Config 統合は、AWS Control Tower ランディングゾーンで有効にする必要があります。
+ `AWSControlTowerBaseline` ターゲット OU で を有効にする必要があります。
**考慮事項**: ターゲット OU で `BackupBaseline` を有効化する前に、ターゲット OU で `AWSControlTowerBaseline` が有効になっていることを確認してください。つまり、ターゲット OU は AWS Control Tower で登録されている必要があります。
+ AWS Control Tower ランディングゾーンの作成プロセス AWS Backup 中にアクティブ化するか、ランディングゾーンの更新プロセス中にアクティブ化するかを選択できます。
+ `BackupBaseline` は、ランディングゾーンバージョン 3.1 以降と互換性があります。
+ `BackupBaseline` は管理アカウントには適用されません。
## ランディングゾーンのセットアップ中に共有アカウントに適用できるベースラインタイプ
AWS Control Tower は、ランディングゾーンのセットアップと更新プロセスの一環として、共有アカウントの特定のベースラインを有効にします。ランディングゾーンの設定を変更すると、ランディングゾーンのベースラインが変更される場合があります。例えば、IAM アイデンティティセンターをオプトインした場合、AWS Control Tower はランディングゾーンで最新バージョンの `IdentityCenterBaseline` ベースラインを有効にすることができます。
`ListEnabledBaselines` API コールを使用すると、ランディングゾーンで有効になっているベースラインを表示できます。
**注記**
Landing Zone バージョン 4.0 以降、AuditBaseline は `CentralSecurityRolesBaseline`と の 2 つの異なるベースラインに置き換えられます`CentralConfigBaseline`。
+ **名前**: `CentralConfigBaseline`
**説明**: AWS Config を使用して、組織内のコンプライアンスのモニタリングと監査のための中央リソースを設定します。
+ **名前**: `CentralSecurityRolesBaseline`
**説明**: 組織内のセキュリティモニタリング用の中央リソースを設定します。
+ **名前**: `AuditBaseline`
**説明**: 組織内のアカウントのセキュリティとコンプライアンスをモニタリングするためのリソースを設定します。
+ **名前**: `LogArchiveBaseline`
**説明**: 組織内のアカウントからの API アクティビティとリソース設定のログ用に中央リポジトリを設定します。
+ **名前**: `IdentityCenterBaseline`
**説明**: IAM アイデンティティセンターの共有リソースを設定します。これにより、`AWSControlTowerBaseline` がアカウントのアイデンティティセンターアクセスを設定する準備が整います。
**考慮事項**: このベースラインが機能するのは、ランディングゾーンの初期設定時に ID プロバイダーとして IAM アイデンティティセンターを選択した場合、または後でランディングゾーン設定を変更して、IAM アイデンティティセンターをランディングゾーンに対して有効にした場合のみです。別の ID プロバイダーを使用している場合、このベースラインを有効にするためのアクセス権限はありません。
+ **名前**: `BackupCentralVaultBaseline`
**説明**: 組織内の中央 AWS Backup ボールトを設定します。
+ **名前**: `BackupAdminBaseline`
**説明**: 委任管理者と AWS Backup Audit Manager を設定します。
# アカウントの一部登録
ベースラインの操作中に、アカウントが**一部登録済み**という状態になる場合があります。
この状態は、`ResetEnabledBaseline` API を呼び出して OU を再登録する場合に発生する可能性があります。AWS Control Tower は、ターゲット OU のアカウントに必須リソースのみを適用するためです。親 OU のオプションリソース (コントロール) がないアカウントは、**一部登録済み**とマークされます。
未登録のアカウントを登録済みの OU に移動した後、その OU に対して `ResetEnabledBaseline` API を呼び出してそのアカウントを登録すると、AWS Control Tower は `AWSControlTowerBaseline` に関連付けられたリソースを新しく登録されたアカウントに適用します。ただし、この OU で有効になっているオプションコントロールは、アカウントに適用されません。アカウントは**一部登録済み**状態のままです。
アカウントを完全に登録するには、コンソールで **[再登録]** または **[アカウントの更新]** を選択します。コンソールからこれらのオペレーションを選択すると、AWS Control Tower は、その OU に対してアクティブ化されるオプションコントロールも含めて、その OU のすべてのリソースを新しく登録されたアカウントに適用します。
# AWS Control Tower コンソールとベースラインの API でのオペレーションの相違点
OU のガバナンスステータスを変更する場合、AWS Control Tower コンソールは、ベースラインの API を使用してガバナンスを変更する場合と比べて、より多くのオペレーションを自動的に実行します。
**相違点**
+ **登録とプロビジョニング済み製品**
コンソールを介して OU を登録すると、AWS Control Tower は各アカウントの登録の一環として、OU のメンバーアカウント用に Service Catalog 製品を作成します。`EnableBaseline` API と `AWSControlTowerBaseline` を使用して OU を登録すると、AWS Control Tower は OU のメンバーアカウント用にプロビジョニング済み製品を作成しません。
+ **OU の登録解除**
OU の登録を解除するときは、まずすべてのメンバーアカウントとネストされた OU を削除する必要があります。その後、OU に適用されているすべてのコントロールを AWS Control Tower が削除します。
+ コンソールから OU の **[削除]** を選択すると、AWS Control Tower は登録解除に進み、組織から OU を削除します。
+ 一方、`DisableBaseline` API を呼び出して OU から `AWSControlTowerBaseline` を削除することで OU を登録解除しても、AWS Control Tower は組織から OU を削除せず、OU は未登録のまま組織内に残ります。
## 有効なベースラインとメンバーアカウント
OU でベースラインを有効にすると、その設定は OU のメンバーアカウントによって継承されます。継承の事実により、アカウントを参照するときに*子で有効なベースライン*と呼びます。OU に適用されるベースラインは、*親で有効なベースライン*と呼ばれます。親で有効なベースラインは、子で有効なベースラインの設定を制御します。これは、OU で有効になっている制御が OU 内のすべてのアカウントに適用されるのに似ています。
**アカウントのベースラインのステータスを表示する**
AWS Control Tower では、ベースラインを使用してアカウントを直接ターゲットにすることはできません。ただし、継承された子で有効なベースラインを使用して、各メンバーアカウントの有効化とドリフトのステータスを追跡できます。アカウントのステータスを表示するには、`includeChildren` 機能フラグを使用して [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html) API を呼び出します。
**アカウントのベースラインを無効にする**
AWS Control Tower では、親が有効なベースラインにリンクされた子が有効なベースラインを無効にすることはできません。子が有効なベースラインは、継承がドリフトし、親が有効なベースラインにリンクされなくなった場合に無効にできます。
## ベースラインとバージョニングのデフォルト
AWS Control Tower のランディングゾーンが既に設定されている場合に、ランディングゾーンのベースラインの有効化を選択すると、AWS Control Tower はランディングゾーンのバージョンと互換性のある最新バージョンのベースラインを有効にします。まだ AWS Control Tower に登録されていない OU に対してベースラインの有効化を選択すると、AWS Control Tower は互換性のある最新バージョンのベースラインをその OU に自動的に提供します。
# OU ベースラインとランディングゾーンバージョンの互換性
AWS Control Tower ベースラインを使用すると、ビジネスニーズに応じて、ランディングゾーンレベルではなく、OU レベルでガバナンス標準を設定できます。OU を AWS Control Tower に登録するのに役立つ `AWSControlTowerBaseline` というベースラインがあります。
**注記**
*ベースライン*とは、ランディングゾーン内に安定したガバナンス環境を確立するために連携するコントロールとリソースのグループです。
AWS Control Tower で `EnableBaseline` API を呼び出して OU でベースラインを有効にする際には、現在の AWS Control Tower ランディングゾーンバージョンと互換性のあるベースラインバージョンを指定する必要があります。ベースラインを指定すると、OU 内のすべてのメンバーアカウントが OU に指定されたベースラインに従います。つまり、新しいアカウントは更新されたベースラインでプロビジョニングされ、既存のメンバーアカウントは新しいベースラインに従って管理されるようになります。
既存の OU とアカウントのベースラインを選択しない場合は、デフォルトで、ランディングゾーンバージョンによってガバナンス体制全体が決まります。ただし、ランディングゾーンに登録された各 OU にはベースラインバージョンが割り当てられています。これは、現在のランディングゾーンバージョンと互換性のある最新のベースラインです。したがって、特にベースラインを割り当てなくても、OU と登録済みのメンバーアカウントにはそれぞれベースラインが関連付けられています。
OU レベルのベースライン `AWSControlTowerBaseline` について、ベースラインと AWS Control Tower ランディングゾーンバージョンの互換性を次の表に示します。
| **ベースラインバージョン** | **ランディングゾーンバージョン** | **含まれるブループリント** | **以前のベースラインからの変更** |
| --- | --- | --- | --- |
| 1.0 | 2.0~2.7 | BP\$1BASELINE\$1CLOUDTRAIL、BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1ROLES、IAM リソース | なし |
| 2.0 | 2.8~2.9 | BP\$1BASELINE\$1CLOUDTRAIL、BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1ROLES、Config SLR、IAM リソース | SLR を使用するための AWS Config サービスにリンクされたロール (SLR) と新しい Config ブループリントを追加 |
| 3.0 | 3.0~3.1 | BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1ROLES、Config SLR、IAM リソース | 新しい AWS Config ブループリント。グローバルリソースをホームリージョンでのみ記録するように変更。CloudTrail ブループリントを削除 |
| 4.0 | 3.2~3.3 | BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE、BP\$1BASELINE\$1SERVICE\$1ROLES、Config SLR、IAM リソース | 新しい SLR ブループリント |
| 5.0 | 4.0 | BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE、BP\$1BASELINE\$1SERVICE\$1ROLES、Config SLR、IAM リソース | AWS Config Aggregation Authorization (複数可) を削除しました。LandingZone AWS Config バージョン 4.0 では、組織内のすべてのメンバーアカウントにアクセスできる AWS Organizations Config Aggregator を採用しているため、各メンバーアカウントからの AWS Config Aggregation Authorization は必要ありません。 |
ランディングゾーンのセットアップ時にアカウントに作成された特定のリソースの詳細については、「[Resources created in the shared accounts](https://docs.aws.amazon.com//controltower/latest/userguide/shared-account-resources.html)」を参照してください。
ランディングゾーンを、新しい `AWSControlTowerBaseline` ベースラインバージョンをサポートするバージョンに更新したときに、新しいランディングゾーンバージョンが既存のベースラインバージョンと互換性がある場合は、OU の状態が **[更新が利用できます]** に変わります。
+ ランディングゾーンが 2.x から 3.x に更新される場合を除き、OU のベースラインをすぐに更新しなくても、アカウントファクトリやその他の機能を引き続き使用できます。
+ この OU に登録された新しいアカウントは、(コンソールで **[ガバナンスを拡張]** 機能を使用するか、`UpdateEnabledBaseline` API を使用して) ベースラインバージョンが更新されるまで、既存のベースラインバージョンに基づいてリソースを受け取ります。
+ ベースラインバージョンを更新すると、その OU 内のすべてのアカウントが新しいベースラインバージョンに基づいてリソースを受け取ります。
**注記**
AWS Control Tower ランディングゾーンをバージョン 2.X からバージョン 3.X に更新する場合、アカウントレベルから組織レベルの AWS CloudTrail 証跡への変更により、OUs のベースラインバージョンも更新する必要があります。コンソールで、OU のステータスが **[更新は必須です]** と表示されます。
**ベースラインに関する考慮事項**
+ OU でベースラインの更新が必要な場合は、新しいアカウントをプロビジョニングしたり、既存のアカウントをその OU に登録したりすることはできません。
+ ランディングゾーンの更新後、OU のベースラインも更新する場合は、OU を再登録するか、OU のベースラインバージョンをプログラムで更新する必要があります。
+ ランディングゾーンとベースラインを組み合わせた場合の利点がすべて得られるように、ご使用のランディングゾーンバージョンと互換性のある最も高いバージョンのベースラインに更新することをお勧めします。例えば、ランディングゾーンバージョン 3.3 に更新した場合、ベースライン 3.0 を引き続き使用できますが、ベースライン 4.0 への更新も行わないと、ランディングゾーンバージョン 3.3 の利点をすべて得ることはできません。
+ ベースラインの更新はロールバックできません。
+ ベースラインの有効化は、一度に 1 つの OU を対象とします。したがって、ネストされた OU は、親 OU が更新されても自動的に更新されません。ネストされた OU を更新する前に、親 OU を更新することをお勧めします。
+ `UpdateEnabledBaseline` API を呼び出すか、コンソールから OU を再登録した場合、OU はベースラインの更新前に有効になっていたすべてのコントロールを保持します。
+ ランディングゾーンバージョンと互換性のあるベースラインバージョンが複数あるときに、管理対象外の OU でベースラインを有効にする場合は、最新のベースラインバージョンを使用する必要があります。
# 例: API のみを使用して AWS Control Tower OU を登録する
この例によるチュートリアルは、付随的なドキュメントです。説明、注意事項、および詳細については、「[ベースラインのタイプ](types-of-baselines.md)」を参照してください。
**前提条件**
登録する OU として、AWS Control Tower に登録されていない既存の OU が必要です。または、更新の目的で再登録する、登録済みの OU が必要です。
**OU の登録**
1. `IdentityCenterBaseline` がランディングゾーンに対して有効になっているかどうかを確認します。有効になっている場合は、アイデンティティセンターの有効なベースラインの識別子を取得します。
```
aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'
```
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==``].[arn]'
```
1. ターゲット OU の ARN を取得します。
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. `AWSControlTowerBaseline` ベースラインの ARN を取得します。
```
aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]'
```
1. ターゲット OU に `AWSControlTowerBaseline` ベースラインを作成します。
*アイデンティティセンターベースラインが有効になっている場合:*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":""}]'
```
*アイデンティティセンターベースラインが有効になっていない場合は、次のように `parameters` フラグを省略します。*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier
```
**OU の再登録**
ランディングゾーン設定の更新を行うか、ランディングゾーンバージョンを更新した後は、OU を**再登録**して最新の変更を加える必要があります。以下の手順に従って、関連付けられた`EnabledBaseline`リソースおよび関連する`EnabledControl`リソースをリセットして、OU をプログラムで再登録します。
**重要**
OU でオプションのコントロールが有効になっている場合は、ベースラインをリセットした後、有効なオプションコントロールごとに [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html) API を呼び出す必要があります。このステップにより、オプションのコントロールが最新のランディングゾーン設定と整合性が保たれます。このステップをスキップすると、OU のオプションコントロールに最新のランディングゾーンの変更が反映されない場合があります。オプションのコントロールが有効になっていない場合、このステップは必要ありません。
1. 再登録するターゲット OU の ARN を取得します。
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. ターゲット OU の `EnabledBaseline` リソースの ARN を取得します。
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==``].[arn]'
```
1. 有効なベースラインをリセットします。
```
aws controltower reset-enabled-baseline --enabled-baseline-identifier
```
1. OU でオプションのコントロールが有効になっている場合は、OU に対して有効なコントロールを一覧表示し、それぞれをリセットして、最新のランディングゾーン設定との整合性を維持します。
ターゲット OU で有効なコントロールを一覧表示します。
```
aws controltower list-enabled-controls --target-identifier
```
有効なオプションコントロールが返されるたびに、以下を呼び出してリセットします。
```
aws controltower reset-enabled-control --enabled-control-identifier
```
詳細については、*AWS Control Tower API リファレンス*の[ResetEnabledControl](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)」を参照してください。
# ベースライン API の使用例
このセクションでは、AWS Control Tower ベースライン API の入出力パラメータの例を示します。
## `DisableBaseline`
この API オペレーションの詳細については、「[DisableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_DisableBaseline.html)」を参照してください。
`DisableBaseline` の入力:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789"
}
```
`DisableBaseline` の出力:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
`DisableBaseline` CLI の例:
```
aws controltower disable-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789 \
--region us-west-2
```
## `EnableBaseline`
この API オペレーションの詳細については、「[EnableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_EnableBaseline.html)」を参照してください。
`EnableBaseline` の入力:
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"baselineVersion": "3.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
`EnableBaseline` の出力 (新しいリソースを返す):
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAGF7TNOHRD7ES5VV"
}
```
`EnableBaseline` CLI の例:
この例では、AWS Control Tower AWSによって管理される IAM Identity Center アクセスにオプトインされたランディングゾーンを持つAWS Organizations組織のベースラインを有効にする方法を示します。アイデンティティセンターの `EnabledBaseline` 識別子を取得するには、`ListEnabledBaselines` API を呼び出し、アイデンティティセンターベースライン: `(arn:aws:controltower:Region::baseline/LN25R72TTG6IGPTQ)`でフィルタリングします。
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
レスポンスには `EnabledBaseline` の詳細が表示されます。この中に識別子が示されています。
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ",
"targetIdentifier": "arn:aws:organizations::123456789012:account/o-aq21sw43de5/123456789012",
"statusSummary": {
"status": "SUCCEEDED"
}
}
]
}
```
**注記**
レスポンスの ARN 値を書き留め、この値をパラメータとして渡してデフォルトのベースラインを有効にします。
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```
ランディングゾーンが IAM アイデンティティセンターの AWS Control Tower 管理からオプトアウトされている組織に対しては、パラメータなしでベースラインを有効にします。
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--region us-west-2
```
## `GetBaseline`
この API オペレーションの詳細については、「[GetBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaseline.html)」を参照してください。
`GetBaseline` の入力:
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2"
}
```
`GetBaseline` の出力:
```
{
"arn": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance.",
}
```
`GetBaseline` CLI の例:
```
aws controltower get-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `GetBaselineOperation`
この API オペレーションの詳細については、「[GetBaselineOperation](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaselineOperation.html)」を参照してください。
`GetBaselineOperation` の入力:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
`GetBaselineOperation` の出力:
```
{
"baselineOperation": {
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"operationType": "DISABLE_BASELINE",
"status": "FAILED",
"startTime": "2023-01-12T19:05:00Z",
"endTime": "2023-01-12T19:45:00Z",
"statusMessage": "Can't perform DisableBaseline on a parent target with governed child OUs"
}
}
```
`GetBaselineOperation` CLI の例:
```
aws controltower get-baseline-operation \
--operation-identifier 58f12232-26be-4735-a3e9-dd30d90f021f \
--region us-west-2
```
## `GetEnabledBaseline`
この API オペレーションの詳細については、「[GetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetEnabledBaseline.html)」を参照してください。
`GetEnabledBaseline` の入力:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
```
`GetEnabledBaseline` の出力:
```
{
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
}
```
`GetEnabledBaseline` CLI の例:
```
aws controltower get-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `ListBaselines`
この API オペレーションの詳細については、「[ListBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListBaselines.html)」を参照してください。
`ListBaselines` の入力 (オプションの入力を使用):
```
{
"nextToken": "AbCd1234",
"maxResults": "4"
}
```
`ListBaselines` の出力:
```
{
"baselines": [
{
"arn": "arn:aws:controltower:us-east-1::baseline/4T4HA1KMO10S6311",
"name": "AuditBaseline",
"description": "Sets up resources to monitor security and compliance of accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/J8HX46AHS5MIKQPD",
"name": "LogArchiveBaseline",
"description": "Sets up a central repository for logs of API activities and resource configurations from accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/LN25R72TTG6IGPTQ",
"name": "IdentityCenterBaseline",
"description": "Sets up shared resources for AWS Identity Center, which prepares the AWSControlTowerBaseline to set up Identity Center access for accounts."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/3WPD0NA6TJ9AOMU2",
"name": "BackupCentralVaultBaseline",
"description": "Sets up central AWS Backup vault in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/H6C5JFCJJ3CPU3J5",
"name": "BackupManagerBaseline",
"description": "Sets up delegated admin and AWS Backup Audit Manager."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"name": "BackupBaseline",
"description": "Sets up local Backup vault and attach Backup policy."
}
]
}
```
`ListBaselines` CLI の例:
```
aws controltower list-baselines \
--region us-west-2
```
## `ListEnabledBaselines`
`ListEnabledBaselines` API には、OU のメンバーであるアカウントに適用されるベースラインを表示できるオプションのパラメータがあります。以下の例は、アカウントのベースラインを表示するために使用できる CLI コマンドの一部を示しています。AWS Control Tower は、OU で有効になっているこれらのベースラインを参照しますが、OU に適用されるベースラインからガバナンス設定を取得するため、*子で有効なベースライン*として OU 内の各アカウントに適用します。
この API オペレーションの詳細については、「[ListEnabledBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html)」を参照してください。
子で有効なベースラインを表示する `ListEnabledBaselines` 入力。
```
aws controltower list-enabled-baselines --include-children
```
子で有効なベースラインを表示する `ListEnabledBaselines` 出力。
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XO2UQ1PC6BB5085S5",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "07d6d2b8-e357-4f96-ba00-98ea88143445",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:ou/o-vaex10vaey/ou-k86y-ld9k8vpu"
},
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XAFPKQQXOJB50ZWQH",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"parentIdentifier": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XOIZ4G08CWB50ZWON",
"statusSummary": {
"lastOperationIdentifier": "3508793e-48c8-4895-965b-3dc6abd52b6b",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:account/o-vaex10vaey/183295447314"
}
]
```
**注記**
前の例では、`parentIdentifier` フィールドには、この子で有効なベースラインの親 OU の有効なベースラインを示します。
特定のターゲット (OU またはアカウント) に適用されているすべてのベースラインを表示します。
```
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["TARGET_ARN"]
}
```
特定のベースラインを持つすべての OU を表示します。
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}'
```
特定のベースラインを持つすべての OU とアカウントを表示します。
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}' \
--include-children
```
ベースライン B が有効になっている OU のすべてのアカウントを表示します。
```
### First fetch the enabled baseline record for Baseline B on the OU
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["OU_TARGET_ARN"],
"baselineIdentifiers": ["BASELINE_ARN_FOR_BASELINE_B"]
}'
### Call ListEnabled baseline to fetch all accounts that have their parent as the enabled baseline record on the OU
aws controltower list-enabled-baselines \
--filter '{
"parentIdentifiers": ["ENABLED_BASELINE_ARN_FOR_OU"]
}' \
--include-children
```
**子で有効なベースラインの詳細**
`GetEnabledBaseline` API を使用して、特定の子で有効なベースラインに関する詳細情報を表示できます。
`GetBaselineOperation` API を使用して、子で有効なベースラインで実行されたオペレーションを表示できます。
子で有効なベースラインでは、`EnableBaseline`、`UpdateEnabledBaseline`、`ResetEnabledBaseline`、`DisableBaseline` などの書き込み API を直接呼び出すことはできません。
子で有効なベースラインリソースは、AWS Control Tower サービス、親 OU で実行されるオペレーション、または Account Factory によってのみ変更できます。
フィルターの使用例:
`ListEnabledBaselines` の入力 (フィルターなし):
```
{
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines` の入力 (`baselineIdentifiers` フィルターのみ):
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2', 'arn:aws:controltower:us-east-1::baseline/12GZU8CKZKVMS2AW']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines` の入力 (`targetIdentifiers` フィルターのみ):
```
{
"filter": {
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317', 'arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-11q6n2cf']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 2
}
```
`ListEnabledBaselines` の入力 (`baselineIdentifiers` および `targetIdentifiers` フィルター):
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2']
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines` の出力:
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
},
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "4.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317",
"statusSummary": {
"status": "FAILED",
"lastOperationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
}
],
"nextToken": "e2bXXXXX6cab"
}
```
1 種類のフィルター (`baselineIdentifiers` フィルター) を使用した CLI の例:
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2,arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
複数のフィルター (`baselineIdentifiers` および `targetIdentifiers` フィルター) を使用した CLI の例:
```
aws controltower list-enabled-baselines \
--filter targetIdentifiers=arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65,baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `ResetEnabledBaseline`
この API オペレーションの詳細については、「[ResetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html)」を参照してください。
`ResetEnabledbaseline` の入力:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL"
}
```
`ResetEnabledBaseline` の出力:
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
`ResetEnabledBaseline` CLI の例:
```
aws controltower reset-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `UpdateEnabledBaseline`
この API オペレーションの詳細については、「[UpdateEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_UpdateEnabledBaseline.html)」を参照してください。
`UpdateEnabledBaseline` の入力:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineVersion": "4.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
`UpdateEnabledBaseline` の出力:
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
`UpdateEnabledBaseline` CLI の例:
```
aws controltower update-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--baseline-version 4.0
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```