As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Tipos de linhas de base
Uma *linha de base* no AWS Control Tower é um grupo de recursos e configurações específicas que você pode aplicar a um destino. O destino da linha de base mais comum pode ser uma unidade organizacional (UO). Por exemplo, é possível habilitar uma linha de base com uma UO selecionada como destino para registrar essa UO no AWS Control Tower.
Durante a configuração da landing zone, algumas linhas de base podem ser ativadas automaticamente na conta compartilhada. Certas linhas de base podem ser habilitadas e atualizadas com base nas definições e configurações de zona inicial. O AWS Control Tower cria e implanta os recursos no destino da forma que a linha de base especifica.
Quando você habilita uma linha de base em uma meta, a linha de base é representada como um `EnabledBaseline` recurso da AWS, chamado de recurso.
O AWS Control Tower inclui dois tipos gerais de linhas de base:
+ Linhas de base que podem ser habilitadas em uma OU.
+ Linhas de base que podem ser ativadas na conta compartilhada, durante a configuração da landing zone.
## Tipos de linha de base que se aplicam no nível da OU
**nota**
Somente as linhas de base que se aplicam no nível da OU podem ser ativadas diretamente com a `EnableBaseline` API.
+ **Nome**: `AWSControlTowerBaseline`
**Descrição**: Essa linha de base configura recursos e controles para contas de membros na UO de destino, necessários para monitoramento de conformidade, auditoria, monitoramento de segurança e, opcionalmente, gerenciamento de acesso. Essa linha de base é ativada quando você registra uma OU no AWS Control Tower.
**Pré-requisito**: a integração do AWS Config deve estar habilitada na landing zone do AWS Control Tower.
**Consideração**: essa linha de base mantém as configurações do controle de **Negação de região** da zona de pouso. Em outras palavras, se uma região não é permitida no nível da zona de pouso, essa região não é permitida para aquela UO quando você chama a API `EnableBaseline` para registrar uma UO.
**nota**
O controle de negação de região no nível da UO não tem como permitir regiões que o controle de negação de região da zona de pouso não permite.
Para obter mais informações, consulte [Como SCPs trabalhar com a negação](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#how_scps_deny) na AWS Organizations documentação.
**Recomendação**: recomendamos que você confirme as regiões nas quais a UO de destino pode estar executando workloads e verifique os resultados em relação ao controle de negação de região da zona de pouso, antes de chamar a API `EnableBaseline` para a OU. Caso contrário, você poderá perder o acesso a recursos em determinadas regiões.
+ **Nome**: `ConfigBaseline`
**Descrição**: essa linha de base configura recursos relacionados ao AWS Config para contas de membros dentro da UO de destino, necessários para a habilitação do Detective Controls. Os recursos configurados são um subconjunto dos recursos do AWSControlTowerBaseline.
**Pré-requisito**: a integração do AWS Config deve estar habilitada na landing zone do AWS Control Tower.
**Consideração**: Essa linha de base não mantém as configurações da zona de pouso Region Deny Control. O controle de negação de região não será ativado como parte da ativação ConfigBaseline.
**Limitação**: AWSControl TowerBaseline e ConfigBaseline não pode ser ativado na mesma OU. Somente um deles é permitido em uma OU.
+ **Nome**: `BackupBaseline`
**Descrição**: essa linha de base configura recursos e controles para contas de membro dentro da UO de destino. Eles são necessários para que a integração com o AWS Backup possa automatizar seu backup de dados e centralizar o gerenciamento de suas políticas de backup. Serviços da AWS
**Pré-requisitos:**
+ A integração do AWS Backup deve estar habilitada na landing zone do AWS Control Tower.
+ A integração com o AWS Config deve estar habilitada na landing zone do AWS Control Tower.
+ `AWSControlTowerBaseline`deve estar habilitado na OU de destino.
**Consideração**: antes de habilitar o `BackupBaseline` em uma UO de destino, certifique-se de que `AWSControlTowerBaseline` esteja habilitado na UO de destino. Ou seja, a UO de destino deve ser registrada no AWS Control Tower.
+ Você pode optar por ativar AWS Backup durante o processo de criação da sua zona de pouso do AWS Control Tower ou durante um processo de atualização da zona de pouso.
+ O `BackupBaseline` é compatível com as versões 3.1 e posteriores da zona de pouso.
+ O `BackupBaseline` não é aplicado à conta gerencial.
## Tipos de linha de base que podem ser aplicados na conta compartilhada durante a configuração da landing zone
O AWS Control Tower habilita determinadas linhas de base na conta compartilhada, como parte do processo de configuração e atualização da landing zone. As linhas de base da zona de pouso podem mudar conforme você altera as configurações de zona inicial. Por exemplo, se você optar pelo Centro de Identidade do IAM, o AWS Control Tower poderá habilitar a versão mais recente da linha de base `IdentityCenterBaseline` na zona de pouso.
Você pode ver as linhas de base habilitadas para a zona de pouso com a chamada de API `ListEnabledBaselines`.
**nota**
A partir da versão 4.0 do Landing Zone, o AuditBaseline é substituído por duas linhas de base distintas: e. `CentralSecurityRolesBaseline` `CentralConfigBaseline`
+ **Nome**: `CentralConfigBaseline`
**Descrição**: Configura recursos centrais para monitoramento e auditoria de conformidade em sua organização usando o AWS Config.
+ **Nome**: `CentralSecurityRolesBaseline`
**Descrição**: configura recursos centrais para monitoramento de segurança em sua organização.
+ **Nome**: `AuditBaseline`
**Descrição**: configura recursos para monitorar a segurança e a conformidade das contas em sua organização.
+ **Nome**: `LogArchiveBaseline`
**Descrição**: configura um repositório central para logs de atividades de API e configurações de recursos de contas em sua organização.
+ **Nome**: `IdentityCenterBaseline`
**Descrição**: configura recursos compartilhados para o Centro de Identidade do IAM, que prepara o `AWSControlTowerBaseline` para configurar o acesso ao Centro de Identidade para contas.
**Consideração**: essa linha de base funciona somente quando você seleciona o Centro de Identidade do IAM como seu provedor de identidades no momento em que configurou a zona de pouso inicialmente, ou se você altera mais tarde as configurações de zona inicial para habilitar o Centro de Identidade do IAM para a zona de pouso. Se você estiver usando um provedor de identidades diferente, não terá acesso para habilitar essa linha de base.
+ **Nome**: `BackupCentralVaultBaseline`
**Descrição**: Configura o AWS Backup cofre central em sua organização.
+ **Nome**: `BackupAdminBaseline`
**Descrição**: configura o administrador delegado e o AWS Backup Audit Manager.
# Inscrição parcial de contas
Quando você trabalha com linhas de base, uma conta pode ser colocada em um estado chamado **Parcialmente inscrita**.
Esse estado pode ocorrer se você registrar novamente uma UO chamando a API `ResetEnabledBaseline`, porque o AWS Control Tower aplica somente os recursos obrigatórios às contas na UO de destino. Uma conta que não tem os recursos opcionais (controles) da UO principal é marcada como **Parcialmente inscrita**.
Se você mover uma conta não inscrita para uma UO registrada e, depois, chamar a API `ResetEnabledBaseline` na UO para inscrever essa conta, o AWS Control Tower aplicará os recursos associados a `AWSControlTowerBaseline` à conta recém-inscrita. No entanto, os controles opcionais habilitados para essa UO não são aplicados à conta. A conta permanece em um estado **Parcialmente inscrita**.
Para registrar totalmente a conta, escolha **Registrar novamente** ou **Atualizar conta** no console. Quando você seleciona essas operações no console, o AWS Control Tower aplica todos os recursos dessa UO à conta recém-inscrita, incluindo os controles opcionais que são ativados para essa UO.
# Variação nas operações entre o console do AWS Control Tower e as APIs linhas de base
Quando você altera o status de governança de uma OU, o console do AWS Control Tower executa automaticamente mais operações para você, em comparação com a mudança da governança por meio das quatro APIs linhas de base.
**Diferenças**
+ **Registro e produtos provisionados**
Ao registrar uma UO por meio do console, o AWS Control Tower cria produtos do Service Catalog para as contas-membros da UO, como parte da inscrição de cada conta. Quando você registra uma UO por meio da API `EnableBaseline` e `AWSControlTowerBaseline`, o AWS Control Tower não cria produtos provisionados para as contas-membros na UO.
+ **Cancelar o registro de uma UO**
Sempre que você cancelar o registro de uma OU, primeiro remova todas as contas de membros e as aninhadas. OUs Depois, o AWS Control Tower remove todos os controles que são aplicados à UO.
+ Se você selecionar **Excluir UO** para a UO do console, o AWS Control Tower cancelará o registro e, depois, excluirá a UO da sua organização.
+ No entanto, se você cancelar o registro da UO chamando a API `DisableBaseline` para remover `AWSControlTowerBaseline` da UO, o AWS Control Tower não excluirá a UO da organização, a UO ainda estará presente na organização, sem registro.
## Linhas de base e contas de membro habilitadas
Quando você habilita uma linha de base em uma UO, essa configuração é herdada pelas contas de membro da UO. Devido ao fato da herança, chamamos isso de *linha de base habilitada para filhos* quando nos referimos à conta. A linha de base aplicada à UO é chamada de linha de *base habilitada para pais*. A linha de base habilitada para pais controla a configuração de suas linhas de base habilitadas para filhos. É semelhante à forma como um controle, quando ativado em uma UO, se aplica a todas as contas dentro da UO.
**Exibir o status básico de uma conta**
O AWS Control Tower não permite que você direcione contas diretamente com linhas de base. No entanto, você pode acompanhar o status de habilitação e desvio de cada conta de membro por meio das linhas de base herdadas habilitadas para filhos. Para ver o status de suas contas, você pode chamar a API [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html) com a bandeira de atributo `includeChildren`.
**Desativar a linha de base de uma conta**
O AWS Control Tower não permite que você desative uma linha de base habilitada para crianças vinculada a uma linha de base habilitada para pais. Uma linha de base habilitada para filhos pode ser desativada se for derivada de herança e não estiver mais vinculada a uma linha de base habilitada para pais.
## Linhas de base e padrões de versionamento
Se a zona de pouso do AWS Control Tower já estiver configurada e você optar por habilitar uma linha de base da zona de pouso, o AWS Control Tower habilita a versão mais recente da linha de base compatível com a versão da zona de pouso. Se você optar por habilitar uma linha de base para uma UO que ainda não esteja registrada no AWS Control Tower, o AWS Control Tower fornecerá automaticamente a versão mais recente compatível da linha de base para essa UO.
# Compatibilidade das linhas de base da UO e das versões da zona de pouso
As linhas de base do AWS Control Tower permitem que você defina um padrão de governança no nível da UO, em vez de no nível da zona de pouso, se a sua empresa exigir. A linha de base chamada `AWSControlTowerBaseline` está disponível para ajudar a registrar você no OUs AWS Control Tower.
**nota**
Uma *linha de base* é um grupo de controles e recursos que funcionam em conjunto para estabelecer um ambiente de governança estável na zona de pouso.
Ao habilitar uma linha de base em uma UO, chamando a API `EnableBaseline` no AWS Control Tower, é necessário especificar uma versão de base que seja compatível com a versão atual da zona de pouso do AWS Control Tower. Depois de especificar uma linha de base, todas as contas-membros em uma UO seguem a linha de base fornecida para a UO. Em outras palavras, novas contas são provisionadas com a linha de base atualizada e as contas-membros existentes são governadas de acordo com a nova linha de base.
Se você não selecionar uma linha de base para suas contas OUs e contas existentes, a versão landing zone determinará toda a postura de governança, por padrão. No entanto, cada UO registrada na zona de pouso recebe uma versão da linha de base, que é a mais recente compatível com a versão atual da zona de pouso. Portanto, cada UO e conta-membro inscrita tem uma linha de base associada, mesmo que você nunca atribua uma linha de base especificamente.
Para a linha de base no nível da UO, `AWSControlTowerBaseline`, a tabela a seguir mostra a compatibilidade das linhas de base com as versões da zona de pouso do AWS Control Tower.
| **Versão da linha de base** | **Versões da zona de pouso** | **Esquemas incluídos** | **Alteração em relação à linha de base anterior** |
| --- | --- | --- | --- |
| 1,0 | De 2.0 a 2.7 | BP\$1BASELINE\$1CLOUDTRAIL, BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, recursos do IAM | Nenhum |
| 2,0 | De 2.8 a 2.9 | BP\$1BASELINE\$1CLOUDTRAIL, BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, SLR do Config, recursos do IAM | Função AWS Config vinculada ao serviço (SLR) adicionada e novo esquema Config para usar a SLR |
| 3.0 | De 3.0 a 3.1 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, SLR do Config, recursos do IAM | Novo AWS Config projeto. Alteração para recursos globais de registro somente na região de origem. CloudTrail Projeto removido |
| 4,0 | De 3.2 a 3.3 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE, BP\$1BASELINE\$1SERVICE\$1ROLES, SLR do Config, recursos do IAM | Novo esquema do SLR |
| 5,0 | 4,0 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE, BP\$1BASELINE\$1SERVICE\$1ROLES, SLR do Config, recursos do IAM | Autorização (ões) de agregação do AWS Config removida. A autorização de agregação do AWS Config de cada conta membro não é necessária, pois a LandingZone versão 4.0 adotou o AWS Organizations Config Aggregator, que tem acesso a todas as contas membros da organização. |
Consulte mais informações sobre recursos específicos criados em contas ao configurar a zona de pouso em [Resources created in the shared accounts](https://docs.aws.amazon.com//controltower/latest/userguide/shared-account-resources.html).
Se você atualizar a zona de pouso para uma versão compatível com uma versão mais recente da linha de base `AWSControlTowerBaseline`, e a nova versão da zona de pouso for compatível com sua versão de linha de base existente, o estado da UO mudará para **Atualização disponível**.
+ É possível continuar usando a fábrica de contas e outros recursos sem atualizar a linha de base da UO imediatamente, exceto no caso de uma atualização da zona de pouso de 2.x para 3.x.
+ As novas contas inscritas nessa UO recebem recursos com base na versão de linha de base existente até que ela seja atualizada (com o recurso de **Governança estendida** no console ou por meio da API `UpdateEnabledBaseline`).
+ Depois de atualizar a versão da linha de base, todas as contas dentro dessa UO recebem recursos com base na nova versão da linha de base.
**nota**
Se você atualizar sua zona de pouso do AWS Control Tower de qualquer versão 2.X para qualquer versão 3.X, você também deverá atualizar a versão básica da sua OUs, devido à mudança de trilhas em nível de conta para trilhas em nível de organização. AWS CloudTrail No console, a UO mostrará o status de **Atualização necessária**.
**Considerações sobre as linhas de base**
+ Se a UO exigir uma atualização da linha de base, você não poderá provisionar novas contas nem inscrever contas existentes nessa UO.
+ Depois de uma atualização da zona de pouso, se você também planeja atualizar uma linha de base de UO, será necessário registrar novamente a UO ou atualizar a versão da linha de base da UO programaticamente.
+ Recomendamos que você atualize para a linha de base mais compatível com a versão da zona de pouso que está usando, para ter acesso a todos os benefícios da zona de pouso e da linha de base combinadas. Por exemplo, se atualizar para a versão 3.3 da zona de pouso, você ainda poderá usar a linha de base 3.0, mas não terá todos os benefícios da versão 3.3 da zona de pouso, a menos que também atualize para a linha de base 4.0.
+ As atualizações de linha de base não podem ser revertidas.
+ A habilitação da linha de base se destina a uma UO por vez. Portanto, os aninhados não OUs são atualizados automaticamente quando a OU principal é atualizada. Recomendamos que você atualize a OU principal antes de atualizar a aninhada OUs.
+ Quando você chama a API `UpdateEnabledBaseline` ou registra novamente uma UO no console, a UO retém todos os controles que foram habilitados antes da atualização da linha de base.
+ Quando várias versões da linha de base são compatíveis com a versão da zona de pouso, será necessário usar a versão da linha de base mais recente se habilitar uma linha de base em uma UO não gerenciada.
# Exemplos: registre uma OU do AWS Control Tower com APIs apenas
Este demonstração de exemplos é um documento complementar. Consulte explicações, advertências e mais informações em [Tipos de linhas de base](types-of-baselines.md).
**Pré-requisitos**
É necessário ter uma UO existente que não esteja registrada no AWS Control Tower e que você gostaria de registrar. Ou você deve ter uma UO registrada que gostaria de registrar novamente para fins de atualização.
**Registrar uma UO**
1. Verifique se `IdentityCenterBaseline` está habilitado para a zona de pouso. Em caso afirmativo, obtenha o identificador de linha de base habilitado para o Centro de Identidade.
```
aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'
```
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==``].[arn]'
```
1. Obtenha o ARN do UO de destino.
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. Obtenha o ARN da linha de base de `AWSControlTowerBaseline`.
```
aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]'
```
1. Crie a linha de base de `AWSControlTowerBaseline` na UO de destino.
*Se a linha de base do Centro de Identidade estiver habilitada:*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":""}]'
```
*Se a linha de base do Centro de Identidade não estiver habilitada, omita o sinalizador `parameters`, da seguinte forma:*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier
```
**Registrar novamente uma UO**
Depois de fazer atualizações nas configurações da zona de pouso ou atualizar sua versão da zona de pouso, você deve **se registrar novamente** OUs para fornecer as alterações mais recentes. Siga estas etapas para registrar novamente uma OU programaticamente, redefinindo o recurso associado e todos os `EnabledBaseline` recursos associados. `EnabledControl`
**Importante**
Se a OU tiver controles opcionais ativados, você também deverá chamar a [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)API para cada controle opcional ativado após redefinir a linha de base. Essa etapa garante que os controles opcionais permaneçam consistentes com a configuração mais recente da landing zone. Se você pular essa etapa, os controles opcionais na OU podem não refletir as mudanças mais recentes na landing zone. Se você não tiver nenhum controle opcional ativado, essa etapa não será necessária.
1. Obtenha o ARN da UO de destino para registrar novamente.
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. Obtenha o ARN do recurso `EnabledBaseline` para a UO de destino.
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==``].[arn]'
```
1. Redefina a linha de base habilitada.
```
aws controltower reset-enabled-baseline --enabled-baseline-identifier
```
1. Se a OU tiver controles opcionais habilitados, liste os controles habilitados para a OU e redefina cada um para que permaneçam consistentes com a configuração mais recente do landing zone.
Liste os controles habilitados na UO de destino:
```
aws controltower list-enabled-controls --target-identifier
```
Para cada controle opcional ativado retornado, redefina-o chamando:
```
aws controltower reset-enabled-control --enabled-control-identifier
```
Para obter mais informações, consulte [ResetEnabledControl](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)a *referência da API do AWS Control Tower*.
# Exemplos de uso da API de linha de base
Esta seção contém exemplos de parâmetros de entrada e saída para a linha de base APIs do AWS Control Tower.
## `DisableBaseline`
Para obter mais informações sobre essa operação de API, consulte [DisableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_DisableBaseline.html).
Entrada de `DisableBaseline`:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789"
}
```
Saída de `DisableBaseline`:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
Exemplo da CLI de `DisableBaseline`:
```
aws controltower disable-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789 \
--region us-west-2
```
## `EnableBaseline`
Para obter mais informações sobre essa operação de API, consulte [EnableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_EnableBaseline.html).
Entrada de `EnableBaseline`:
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"baselineVersion": "3.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
Saída de `EnableBaseline`, retornando um novo recurso:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAGF7TNOHRD7ES5VV"
}
```
Exemplo da CLI de `EnableBaseline`:
Este exemplo mostra como habilitar uma linha de base para uma AWS Organizations organização que tem a landing zone ativada para acessar o AWS IAM Identity Center, gerenciado pelo AWS Control Tower. Para recuperar seu identificador `EnabledBaseline` do Centro de Identidade, chame a API `ListEnabledBaselines`, filtrando pela linha de base do Centro de Identidade: `(arn:aws:controltower:Region::baseline/LN25R72TTG6IGPTQ)`
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
A resposta mostrará o detalhe `EnabledBaseline`, que mostra seu identificador.
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ",
"targetIdentifier": "arn:aws:organizations::123456789012:account/o-aq21sw43de5/123456789012",
"statusSummary": {
"status": "SUCCEEDED"
}
}
]
}
```
**nota**
Anote o valor do ARN da resposta e passe esse valor como um parâmetro para habilitar a linha de base padrão.
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```
Para uma organização com a zona de pouso excluída do gerenciamento do AWS Control Tower do Centro de Identidade do IAM, habilite a linha de base sem o parâmetro.
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--region us-west-2
```
## `GetBaseline`
Para obter mais informações sobre essa operação de API, consulte [GetBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaseline.html).
Entrada de `GetBaseline`:
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2"
}
```
Saída de `GetBaseline`:
```
{
"arn": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance.",
}
```
Exemplo da CLI de `GetBaseline`:
```
aws controltower get-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `GetBaselineOperation`
Para obter mais informações sobre essa operação de API, consulte [GetBaselineOperation](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaselineOperation.html).
Entrada de `GetBaselineOperation`:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
Saída de `GetBaselineOperation`:
```
{
"baselineOperation": {
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"operationType": "DISABLE_BASELINE",
"status": "FAILED",
"startTime": "2023-01-12T19:05:00Z",
"endTime": "2023-01-12T19:45:00Z",
"statusMessage": "Can't perform DisableBaseline on a parent target with governed child OUs"
}
}
```
Exemplo da CLI de `GetBaselineOperation`:
```
aws controltower get-baseline-operation \
--operation-identifier 58f12232-26be-4735-a3e9-dd30d90f021f \
--region us-west-2
```
## `GetEnabledBaseline`
Para obter mais informações sobre essa operação de API, consulte [GetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetEnabledBaseline.html).
Entrada de `GetEnabledBaseline`:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
```
Saída de `GetEnabledBaseline`:
```
{
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
}
```
Exemplo da CLI de `GetEnabledBaseline`:
```
aws controltower get-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `ListBaselines`
Para obter mais informações sobre essa operação de API, consulte [ListBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListBaselines.html).
Entrada de `ListBaselines` (usando entradas opcionais):
```
{
"nextToken": "AbCd1234",
"maxResults": "4"
}
```
Saída de `ListBaselines`:
```
{
"baselines": [
{
"arn": "arn:aws:controltower:us-east-1::baseline/4T4HA1KMO10S6311",
"name": "AuditBaseline",
"description": "Sets up resources to monitor security and compliance of accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/J8HX46AHS5MIKQPD",
"name": "LogArchiveBaseline",
"description": "Sets up a central repository for logs of API activities and resource configurations from accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/LN25R72TTG6IGPTQ",
"name": "IdentityCenterBaseline",
"description": "Sets up shared resources for AWS Identity Center, which prepares the AWSControlTowerBaseline to set up Identity Center access for accounts."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/3WPD0NA6TJ9AOMU2",
"name": "BackupCentralVaultBaseline",
"description": "Sets up central AWS Backup vault in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/H6C5JFCJJ3CPU3J5",
"name": "BackupManagerBaseline",
"description": "Sets up delegated admin and AWS Backup Audit Manager."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"name": "BackupBaseline",
"description": "Sets up local Backup vault and attach Backup policy."
}
]
}
```
Exemplo da CLI de `ListBaselines`:
```
aws controltower list-baselines \
--region us-west-2
```
## `ListEnabledBaselines`
A API `ListEnabledBaselines` tem um parâmetro opcional que permite que você visualize as linhas de base conforme elas se aplicam às contas que são membros de uma UO. Os exemplos a seguir mostram alguns comandos do CLI que você pode usar para visualizar as linhas de base de uma conta. O AWS Control Tower se refere a essas linhas de base, que são habilitadas na UO, mas se aplicam a cada conta dentro da UO, como *linhas de base habilitadas para filhos*, porque elas derivam sua configuração de governança das linhas de base que são aplicadas na UO.
Para obter mais informações sobre essa operação de API, consulte [ListEnabledBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html).
Entrada de `ListEnabledBaselines` para mostrar linhas de base habilitadas para filhos:
```
aws controltower list-enabled-baselines --include-children
```
Saída de `ListEnabledBaselines` para visualizar as linhas de base habilitadas para filhos:
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XO2UQ1PC6BB5085S5",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "07d6d2b8-e357-4f96-ba00-98ea88143445",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:ou/o-vaex10vaey/ou-k86y-ld9k8vpu"
},
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XAFPKQQXOJB50ZWQH",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"parentIdentifier": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XOIZ4G08CWB50ZWON",
"statusSummary": {
"lastOperationIdentifier": "3508793e-48c8-4895-965b-3dc6abd52b6b",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:account/o-vaex10vaey/183295447314"
}
]
```
**nota**
No exemplo anterior, o campo `parentIdentifier` mostra a linha de base habilitada da UO pai para essa linha de base habilitada para filhos.
Visualize todas as linhas de base aplicadas em um alvo específico (UO ou conta):
```
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["TARGET_ARN"]
}
```
Veja todos os OUs que têm uma linha de base específica:
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}'
```
Veja todas as contas OUs e contas que têm uma linha de base específica:
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}' \
--include-children
```
Veja todas as contas em uma UO que tenham a Linha de Base B habilitada:
```
### First fetch the enabled baseline record for Baseline B on the OU
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["OU_TARGET_ARN"],
"baselineIdentifiers": ["BASELINE_ARN_FOR_BASELINE_B"]
}'
### Call ListEnabled baseline to fetch all accounts that have their parent as the enabled baseline record on the OU
aws controltower list-enabled-baselines \
--filter '{
"parentIdentifiers": ["ENABLED_BASELINE_ARN_FOR_OU"]
}' \
--include-children
```
**Mais sobre linhas de base habilitadas para filhos**
Você pode usar a API `GetEnabledBaseline` para visualizar informações detalhadas sobre uma linha de base específica habilitada para filhos
Você pode usar a API `GetBaselineOperation` para visualizar uma operação realizada na linha de base habilitada para filhos
Você não pode chamar diretamente nenhuma gravação APIs, como`EnableBaseline`,, `ResetEnabledBaseline` ou `UpdateEnabledBaseline``DisableBaseline`, em uma linha de base habilitada para crianças.
Os recursos básicos habilitados para filhos podem ser modificados somente por meio do serviço AWS Control Tower, por meio de operações que são executadas na UO pai ou por meio do Account Factory.
Exemplos de uso de filtros:
Entrada de `ListEnabledBaselines` (sem filtros):
```
{
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
Entrada `ListEnabledBaselines` (somente filtro `baselineIdentifiers`):
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2', 'arn:aws:controltower:us-east-1::baseline/12GZU8CKZKVMS2AW']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
Entrada `ListEnabledBaselines` (somente filtro `targetIdentifiers`):
```
{
"filter": {
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317', 'arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-11q6n2cf']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 2
}
```
Entrada de `ListEnabledBaselines` (filtros `baselineIdentifiers` e `targetIdentifiers`):
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2']
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
Saída de `ListEnabledBaselines`:
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
},
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "4.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317",
"statusSummary": {
"status": "FAILED",
"lastOperationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
}
],
"nextToken": "e2bXXXXX6cab"
}
```
Exemplo de CLI com um tipo de filtro (filtro `baselineIdentifiers`):
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2,arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
Exemplo de CLI usando vários filtros (filtros `baselineIdentifiers` e `targetIdentifiers`):
```
aws controltower list-enabled-baselines \
--filter targetIdentifiers=arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65,baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `ResetEnabledBaseline`
Para obter mais informações sobre essa operação de API, consulte [ResetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html).
Entrada de `ResetEnabledbaseline`:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL"
}
```
Saída de `ResetEnabledBaseline`:
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
Exemplo da CLI de `ResetEnabledBaseline`:
```
aws controltower reset-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `UpdateEnabledBaseline`
Para obter mais informações sobre essa operação de API, consulte [UpdateEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_UpdateEnabledBaseline.html).
Entrada de `UpdateEnabledBaseline`:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineVersion": "4.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
Saída de `UpdateEnabledBaseline`:
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
Exemplo da CLI de `UpdateEnabledBaseline`:
```
aws controltower update-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--baseline-version 4.0
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```