本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 基准的类型
AWS Control Tower 中的*基准*是您可以应用于目标的一组资源和特定配置。最常见的基准目标可能是组织单位(OU)。例如,您可以启用一个基准,选择一个 OU 作为目标,将该 OU 注册到 AWS Control Tower。
在 landing zone 设置期间,某些基准可能会在共享账户上自动启用。根据您的登录区设置和配置,可能会启用和更新某些基准。AWS Control Tower 按照基准指定的方式创建资源并将其部署到目标。
当您在目标上启用基准时,该基准将表示为 AWS 资源,称为`EnabledBaseline`资源。
AWS Control Tower 一般包括以下两种基准:
+ 可以在 OU 上启用的基准。
+ 在 landing zone 设置期间,可以在共享账户上启用的基准。
## 适用于 OU 级别的基准类型
**注意**
只有适用于 OU 级别的基准才能使用 `EnableBaseline` API 直接启用。
+ **名称**:`AWSControlTowerBaseline`
**描述**:此基准为目标 OU 内的成员账户设置资源和控制,这是合规性监控、审计、安全监控以及可选的访问管理所必需的。当你在 AWS Control Tower 中注册 OU 时,就会启用此基准。
**先决条件**:必须在 AWS Control Tower 着陆区启用 AWS Config 集成。
**注意事项**:此基准保留了登录区**区域拒绝**控件的设置。换句话说,如果在登录区级别不允许使用某个区域,则在调用 `EnableBaseline` API 注册一个 OU 时,该 OU 不允许使用该区域。
**注意**
OU 级别区域拒绝控件无法允许登录区区域拒绝控件不允许的区域。
有关更多信息,请参阅 AWS Organizations 文档中的[ SCPs 如何使用拒绝](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#how_scps_deny)。
**建议**:建议您在调用 OU 的 `EnableBaseline` API 之前,先确认目标 OU 可能运行工作负载的区域,并根据登录区区域拒绝控件检查结果,否则您可能会无法访问某些区域的资源。
+ **名称**:`ConfigBaseline`
**描述**:此基准为启用 Detective Controls 所需的目标 OU 中的成员账户设置 AWS Config 相关资源。设置的资源是资源的子集 AWSControlTowerBaseline。
**先决条件**:必须在 AWS Control Tower 着陆区启用 AWS Config 集成。
**注意事项**:此基线不保留着陆区 Region deny control 的设置。区域拒绝控制不会作为启用的一部分启用 ConfigBaseline。
**限制**: AWSControlTowerBaseline 且 ConfigBaseline 不能在同一 OU 上启用。OU 中只允许其中一个。
+ **名称**:`BackupBaseline`
**描述**:此基准为目标 OU 中的成员账户设置资源和控件。这些都是必需的,这样与的集成 AWS Backup 才能自动执行数据备份 AWS 服务,并集中管理备份策略。
**先决条件:**
+ 必须在 AWS Control Tower 着陆区启用 AWS Backup 集成。
+ 必须在 AWS Control Tower 着陆区启用 AWS Config 集成。
+ `AWSControlTowerBaseline`必须在目标 OU 上启用。
**注意事项**:在目标 OU 上启用 `BackupBaseline` 之前,请确保已在目标 OU 上启用 `AWSControlTowerBaseline`。也就是说,必须在 AWS Control Tower 中注册目标 OU。
+ 您可以选择 AWS Backup 在创建 AWS Control Tower 着陆区的过程中或着陆区更新过程中激活。
+ `BackupBaseline` 与登录区 3.1 及更高版本兼容。
+ `BackupBaseline` 不应用于管理账户。
## 在 landing zone 设置期间可能应用于共享账户的基准类型
作为着陆区设置和更新过程的一部分,AWS Control Tower 在共享账户上启用某些基准。当您更改登录区设置时,登录区的基准可能会发生变化。例如,如果您选择启用 IAM Identity Center,AWS Control Tower 可以在您的登录区启用最新版本的 `IdentityCenterBaseline` 基准。
您可以通过 `ListEnabledBaselines` API 调用查看您的登录区已启用的基准。
**注意**
从 Landing Zone 4.0 版本开始,被两个不同的基准所取代:`CentralSecurityRolesBaseline`和。 AuditBaseline `CentralConfigBaseline`
+ **名称**:`CentralConfigBaseline`
**描述**:使用 AWS Config 在组织内设置用于合规性监控和审计的中央资源。
+ **名称**:`CentralSecurityRolesBaseline`
**描述**:为组织内的安全监控设置中央资源。
+ **名称**:`AuditBaseline`
**描述**:设置资源以监控组织中账户的安全性和合规性。
+ **名称**:`LogArchiveBaseline`
**描述**:设置一个中央存储库,用于存储组织中账户的 API 活动和资源配置日志。
+ **名称**:`IdentityCenterBaseline`
**描述**:为 IAM Identity Center 设置共享资源,从而为 `AWSControlTowerBaseline` 设置账户的 Identity Center 访问权限做好准备。
**注意事项**:只有当您在最初设置登录区时选择 IAM Identity Center 作为身份提供者,或者随后更改登录区设置为登录区启用 IAM Identity Center 时,此基准才有效。如果您使用的是其他身份提供者,则将无法启用此基准。
+ **名称**:`BackupCentralVaultBaseline`
**描述**:在您的组织中设置中央 AWS Backup 保管库。
+ **名称**:`BackupAdminBaseline`
**描述**:设置委托管理员和 Audit M AWS Backup anager。
# 部分注册账户
使用基准时,可以将账户置于名为**已部分注册**的状态。
如果您通过调用 `ResetEnabledBaseline` API 重新注册 OU,则可能会出现这种状态,因为 AWS Control Tower 仅将必需资源应用于目标 OU 中的账户。缺少其父 OU 的可选资源(控件)的账户将被标记为**部分注册**。
如果您将未注册的账户移至已注册的 OU 中,然后调用 OU 上的 `ResetEnabledBaseline` API 来注册该账户,AWS Control Tower 会将与 `AWSControlTowerBaseline` 关联的资源应用于新注册的账户。但是,为此 OU 启用的可选控件不会应用于该账户。该账户仍处于**部分注册**状态。
要完全注册账户,请在控制台中选择**重新注册**或**更新账户**。当您从控制台中选择这些操作时,AWS Control Tower 会将该 OU 的所有资源应用于新注册的账户,包括为该 OU 激活的可选控件。
# AWS Control Tower 控制台和 APIs 基准控制台之间的操作有所不同
当您更改 OU 的治理状态时,AWS Control Tower 控制台会自动为您执行更多操作,而不是通过 for 基 APIs准更改治理。
**差异**
+ **注册和预置产品**
通过控制台注册 OU 时,AWS Control Tower 会为 OU 的成员账户创建 Service Catalog 产品,作为注册每个账户的一部分。通过 `EnableBaseline` API 和 `AWSControlTowerBaseline` 注册一个 OU 时,AWS Control Tower 不会为该 OU 中的成员账户创建预置产品。
+ **取消注册 OU**
每次注销 OU 时,都必须先移除所有成员帐户并进行嵌套 OUs。然后,AWS Control Tower 会移除应用于 OU 的所有控件。
+ 如果从控制台中选择**删除 OU**,AWS Control Tower 会继续取消注册,然后从您的组织中删除 OU。
+ 但是,如果您通过调用 `DisableBaseline` API 将 `AWSControlTowerBaseline` 从 OU 中移除,从而取消注册 OU,AWS Control Tower 不会从您的组织中删除 OU,该 OU 仍然存在于组织中,只是未注册。
## 已启用的基准和成员账户
当您在一个 OU 上启用基准时,该 OU 的成员账户便会继承该配置。由于这种继承关系,我们会在提及账户时将其称为*启用子项的基准*。应用于 OU 的基准称为*启用父项的基准*。启用父项的基准控制其启用子项的基准的配置。这类似于在 OU 上启用控件后,将控件应用于 OU 中的每个账户。
**查看账户的基准状态**
AWS Control Tower 不允许您直接将基准应用于目标账户。但是,您可以通过每个成员账户继承的启用子项的基准,来跟踪这些账户的启用和偏移状态。要查看您的账户状态,可以调用带 `includeChildren` 功能标志的 [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html) API。
**禁用账户的基准**
AWS Control Tower 不允许您禁用与已启用父项的基准关联的支持子项的基准。如果启用子项的基线已被继承漂移,并且不再链接到已启用父项的基线,则可以将其禁用。
## 基准和版本控制默认设置
如果您的 AWS Control Tower 登录区已经设置完毕,然后您选择启用登录区基准,那么 AWS Control Tower 会启用与您的登录区版本兼容的最新版本的基准。如果您选择为尚未在 AWS Control Tower 中注册的 OU 启用基准,AWS Control Tower 会自动为该 OU 提供最新兼容版本的基准。
# OU 基准和登录区版本的兼容性
如果您的业务需要,AWS Control Tower 基准允许您在 OU 级别而不是登录区级别设置监管标准。所调用的基准可用于帮助您`AWSControlTowerBaseline`在 AWS Con OUs trol Tower 上注册。
**注意**
*基准*是一组控件和资源,它们协同工作,在您的登录区中建立稳定的监管环境。
在 AWS Control Tower 中调用 `EnableBaseline` API 来在 OU 上启用基准时,您必须指定与您当前 AWS Control Tower 登录区版本兼容的基准版本。指定基准后,OU 中的所有成员账户都将遵循为 OU 提供的基准。换句话说,新账户会根据更新的基准进行预置,而现有成员账户会根据新基准进行监管。
如果您没有为现有 OUs 和账户选择基准,则默认情况下,landing zone 版本将决定整个治理状况。但是,您的登录区中每个注册的 OU 都会被分配一个基准版本,该版本是与您当前的登录区版本兼容的最新基准。因此,每个 OU 和已注册的成员账户都有一个关联的基准,即使您从未专门分配过基准。
对于 OU 级别的基准 `AWSControlTowerBaseline`,下表显示了基准与 AWS Control Tower 登录区版本的兼容性。
| **基准版本** | **登录区版本** | **内含蓝图** | **与之前的基准相比的变化** |
| --- | --- | --- | --- |
| 1.0 | 2.0 至 2.7 | BP\$1BASELINE\$1CLOUDTRAIL、BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1ROLES、IAM 资源 | 无 |
| 2.0 | 2.8 至 2.9 | BP\$1BASELINE\$1CLOUDTRAIL、BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1ROLES、Config SLR、IAM 资源 | 添加了 AWS Config 服务相关角色 (SLR) 和新的 Config 蓝图以使用 SLR |
| 3.0 | 3.0 至 3.1 | BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1ROLES、Config SLR、IAM 资源 | 新 AWS Config 蓝图。更改为仅在主区域记录全局资源。已移除 CloudTrail 蓝图 |
| 4.0 | 3.2 至 3.3 | BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE、BP\$1BASELINE\$1SERVICE\$1ROLES、Config SLR、IAM 资源 | 新的 SLR 蓝图 |
| 5.0 | 4.0 | BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE、BP\$1BASELINE\$1SERVICE\$1ROLES、Config SLR、IAM 资源 | 已移除 AWS Config 聚合授权。由于 LandingZone 版本 4.0 采用了可以访问组织内所有成员账户的 AWS Organizations Config Aggregator,因此不需要每个成员账户授权。 |
有关设置登录区时在账户中创建的特定资源的更多信息,请参阅 [Resources created in the shared accounts](https://docs.aws.amazon.com//controltower/latest/userguide/shared-account-resources.html)。
如果您将登录区更新为支持较新版 `AWSControlTowerBaseline` 基准的版本,并且新的登录区版本与您现有的基准版本兼容,则您的 OU 状态将更改为**有更新可用**。
+ 除将登录区版本从 2.x 更新到 3.x 之外,您无需立即更新 OU 基准即可继续使用 Account Factory 和其他功能。
+ 在基准版本更新之前,在此 OU 中注册的新账户将根据现有基准版本获得资源(使用控制台中的**扩展监管**功能或通过 `UpdateEnabledBaseline` API)。
+ 更新基准版本后,该 OU 中的所有账户都会获得基于新基准版本的资源。
**注意**
如果您将 AWS Control Tower 着陆区从任何 2.X 版本更新为任何 3.X 版本,则还必须更新您的基础版本 OUs,因为账户级别的跟踪已从账户级别更改为组织级跟踪。 AWS CloudTrail 在控制台中,您的 OU 将显示**需要更新**的状态。
**基准注意事项**
+ 如果您的 OU 需要更新基准,则您无法预置新账户或将现有账户注册到该 OU。
+ 登录区更新后,如果您还计划更新 OU 基准,则必须重新注册该 OU 或以编程方式更新 OU 基准版本。
+ 我们建议您更新到正在使用的登录区版本的最高兼容基准,这样您就能获享登录区和基准配合使用的所有好处。例如,如果您更新到登录区版本 3.3,则可以继续使用基准 3.0,但除非您同时更新到基准 4.0,否则无法获得登录区版本 3.3 的所有好处。
+ 基准更新不能回滚。
+ 基准启用一次针对一个 OU。因此,更新父 OU 时,嵌套 OUs 不会自动更新。我们建议您在更新嵌套的 OU 之前先更新父 OU OUs。
+ 从控制台调用 `UpdateEnabledBaseline` API 或重新注册 OU 时,OU 会保留基准更新前启用的所有控件。
+ 当多个基准版本与您的登录区版本兼容时,如果您在非托管 OU 上启用基准,则必须使用最新的基准版本。
# 示例: APIs 仅使用注册一个 AWS Control Tower OU
本示例演练是一份配套文档。有关解释、注意事项等更多信息,请参阅 [基准的类型](types-of-baselines.md)。
**先决条件**
您必须有一个未向 AWS Control Tower 注册但希望注册的现有 OU。或者,您必须有一个已注册的 OU,并希望重新注册以进行更新。
**注册 OU**
1. 检查登录区是否启用了 `IdentityCenterBaseline`。如果是,请获取已启用 Identity Center 的基准标识符。
```
aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'
```
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==``].[arn]'
```
1. 获取目标 OU 的 ARN。
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. 获取 `AWSControlTowerBaseline` 基准的 ARN。
```
aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]'
```
1. 在目标 OU 上创建 `AWSControlTowerBaseline` 基准。
*如果启用了 Identity Center 基准:*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":""}]'
```
*如果未启用 Identity Center 基准,请省略该 `parameters` 标志,如下所示:*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier
```
**重新注册 OU**
更新着陆区设置或更新着陆区版本后,必须**重新注册**才能 OUs 向他们提供最新更改。按照以下步骤以编程方式重新注册 OU,方法是重置关联`EnabledBaseline`资源和任何关联资源。`EnabledControl`
**重要**
如果 OU 启用了可选控件,则在重置基准后,您还必须为每个启用的可选控件调用 [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)API。此步骤可确保可选控件与最新的 landing zone 配置保持一致。如果您跳过此步骤,OU 上的可选控件可能无法反映最新的 landing zone 更改。如果您未启用任何可选控件,则无需执行此步骤。
1. 获取要重新注册的目标 OU 的 ARN。
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. 获取目标 OU 的 `EnabledBaseline` 资源的 ARN。
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==``].[arn]'
```
1. 重置 EnabledBaseline。
```
aws controltower reset-enabled-baseline --enabled-baseline-identifier
```
1. 如果 OU 启用了可选控件,请列出 OU 已启用的控件并重置每个控件,使其与最新的 landing zone 配置保持一致。
列出目标 OU 上已启用的控件:
```
aws controltower list-enabled-controls --target-identifier
```
对于返回的每个已启用的可选控件,请调用以下命令将其重置:
```
aws controltower reset-enabled-control --enabled-control-identifier
```
有关更多信息,请参阅 *AWS C [ResetEnabledControl](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)ontrol Tower API 参考*中的。
# 基准 API 用法示例
本节包含 AWS Control Tower 基准的输入和输出参数示例 APIs。
## `DisableBaseline`
有关此 API 操作的更多信息,请参阅[DisableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_DisableBaseline.html)。
`DisableBaseline` 输入:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789"
}
```
`DisableBaseline` 输出:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
`DisableBaseline` CLI 示例:
```
aws controltower disable-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789 \
--region us-west-2
```
## `EnableBaseline`
有关此 API 操作的更多信息,请参阅[EnableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_EnableBaseline.html)。
`EnableBaseline` 输入:
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"baselineVersion": "3.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
`EnableBaseline` 输出,返回一项新资源:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAGF7TNOHRD7ES5VV"
}
```
`EnableBaseline` CLI 示例:
此示例演示如何为一个AWS Organizations组织启用基准,该着陆区已选择接入 AWS Control Tower 管理的 IA AWS M 身份中心访问权限。要检索您的 Identity Center `EnabledBaseline` 标识符,您可以调用 `ListEnabledBaselines` API,根据 Identity Center 基准进行筛选:`(arn:aws:controltower:Region::baseline/LN25R72TTG6IGPTQ)`
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
响应将显示 `EnabledBaseline` 详细信息,其中显示其标识符。
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ",
"targetIdentifier": "arn:aws:organizations::123456789012:account/o-aq21sw43de5/123456789012",
"statusSummary": {
"status": "SUCCEEDED"
}
}
]
}
```
**注意**
记下响应中的 ARN 值,并将此值作为参数传递以启用默认基准。
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```
如果组织具有已选择退出 IAM Identity Center 的 AWS Control Tower 管理的登录区,请启用不带该参数的基准。
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--region us-west-2
```
## `GetBaseline`
有关此 API 操作的更多信息,请参阅[GetBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaseline.html)。
`GetBaseline` 输入:
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2"
}
```
`GetBaseline` 输出:
```
{
"arn": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance.",
}
```
`GetBaseline` CLI 示例:
```
aws controltower get-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `GetBaselineOperation`
有关此 API 操作的更多信息,请参阅[GetBaselineOperation](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaselineOperation.html)。
`GetBaselineOperation` 输入:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
`GetBaselineOperation` 输出:
```
{
"baselineOperation": {
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"operationType": "DISABLE_BASELINE",
"status": "FAILED",
"startTime": "2023-01-12T19:05:00Z",
"endTime": "2023-01-12T19:45:00Z",
"statusMessage": "Can't perform DisableBaseline on a parent target with governed child OUs"
}
}
```
`GetBaselineOperation` CLI 示例:
```
aws controltower get-baseline-operation \
--operation-identifier 58f12232-26be-4735-a3e9-dd30d90f021f \
--region us-west-2
```
## `GetEnabledBaseline`
有关此 API 操作的更多信息,请参阅[GetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetEnabledBaseline.html)。
`GetEnabledBaseline` 输入:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
```
`GetEnabledBaseline` 输出:
```
{
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
}
```
`GetEnabledBaseline` CLI 示例:
```
aws controltower get-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `ListBaselines`
有关此 API 操作的更多信息,请参阅[ListBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListBaselines.html)。
`ListBaselines` 输入(使用可选输入):
```
{
"nextToken": "AbCd1234",
"maxResults": "4"
}
```
`ListBaselines` 输出:
```
{
"baselines": [
{
"arn": "arn:aws:controltower:us-east-1::baseline/4T4HA1KMO10S6311",
"name": "AuditBaseline",
"description": "Sets up resources to monitor security and compliance of accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/J8HX46AHS5MIKQPD",
"name": "LogArchiveBaseline",
"description": "Sets up a central repository for logs of API activities and resource configurations from accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/LN25R72TTG6IGPTQ",
"name": "IdentityCenterBaseline",
"description": "Sets up shared resources for AWS Identity Center, which prepares the AWSControlTowerBaseline to set up Identity Center access for accounts."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/3WPD0NA6TJ9AOMU2",
"name": "BackupCentralVaultBaseline",
"description": "Sets up central AWS Backup vault in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/H6C5JFCJJ3CPU3J5",
"name": "BackupManagerBaseline",
"description": "Sets up delegated admin and AWS Backup Audit Manager."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"name": "BackupBaseline",
"description": "Sets up local Backup vault and attach Backup policy."
}
]
}
```
`ListBaselines` CLI 示例:
```
aws controltower list-baselines \
--region us-west-2
```
## `ListEnabledBaselines`
`ListEnabledBaselines` API 提供一个可选参数,允许您查看适用于 OU 成员账户的基准。以下示例显示了一些 CLI 命令,您可以使用这些命令来查看账户的基准。AWS Control Tower 将这些基准称为*启用子项的基准*,这些基准在 OU 上启用,但应用于 OU 中的每个账户,因为它们的监管配置来自应用于 OU 的基准。
有关此 API 操作的更多信息,请参阅[ListEnabledBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html)。
用于显示启用子项的基准的 `ListEnabledBaselines` 输入:
```
aws controltower list-enabled-baselines --include-children
```
用于查看启用子项的基准的 `ListEnabledBaselines` 输出:
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XO2UQ1PC6BB5085S5",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "07d6d2b8-e357-4f96-ba00-98ea88143445",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:ou/o-vaex10vaey/ou-k86y-ld9k8vpu"
},
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XAFPKQQXOJB50ZWQH",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"parentIdentifier": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XOIZ4G08CWB50ZWON",
"statusSummary": {
"lastOperationIdentifier": "3508793e-48c8-4895-965b-3dc6abd52b6b",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:account/o-vaex10vaey/183295447314"
}
]
```
**注意**
在前面的示例中,`parentIdentifier` 字段显示父 OU 为此启用子项的基准启用的基准。
查看应用于特定目标(OU 或账户)的所有基准:
```
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["TARGET_ARN"]
}
```
查看所有 OUs 具有特定基准的内容:
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}'
```
查看所有具有特定基准的账户 OUs 和账户:
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}' \
--include-children
```
查看 OU 中所有启用了基准 B 的账户:
```
### First fetch the enabled baseline record for Baseline B on the OU
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["OU_TARGET_ARN"],
"baselineIdentifiers": ["BASELINE_ARN_FOR_BASELINE_B"]
}'
### Call ListEnabled baseline to fetch all accounts that have their parent as the enabled baseline record on the OU
aws controltower list-enabled-baselines \
--filter '{
"parentIdentifiers": ["ENABLED_BASELINE_ARN_FOR_OU"]
}' \
--include-children
```
**有关启用子项的基准的更多信息**
您可以使用 `GetEnabledBaseline` API 查看有关特定启用子项的基准的详细信息
您可以使用 `GetBaselineOperation` API 查看在启用子项的基准上执行的操作
在启用子项的基线上 `EnableBaseline``UpdateEnabledBaseline`,您不能直接调用任何写入 APIs,例如`DisableBaseline`、`ResetEnabledBaseline`或。
启用子项的基准资源只能通过 AWS Control Tower 服务、通过在父 OU 上执行的操作或通过 Account Factory 进行修改。
使用筛选的示例:
`ListEnabledBaselines` 输入(无筛选条件):
```
{
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines` 输入(仅限 `baselineIdentifiers` 筛选条件):
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2', 'arn:aws:controltower:us-east-1::baseline/12GZU8CKZKVMS2AW']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines` 输入(仅限 `targetIdentifiers` 筛选条件):
```
{
"filter": {
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317', 'arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-11q6n2cf']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 2
}
```
`ListEnabledBaselines` 输入(`baselineIdentifiers` 和 `targetIdentifiers` 筛选条件):
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2']
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines` 输出:
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
},
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "4.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317",
"statusSummary": {
"status": "FAILED",
"lastOperationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
}
],
"nextToken": "e2bXXXXX6cab"
}
```
使用一种筛选条件(`baselineIdentifiers` 筛选条件)的 CLI 示例:
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2,arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
使用多种筛选条件(`baselineIdentifiers` 和 `targetIdentifiers` 筛选条件)的 CLI 示例:
```
aws controltower list-enabled-baselines \
--filter targetIdentifiers=arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65,baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `ResetEnabledBaseline`
有关此 API 操作的更多信息,请参阅[ResetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html)。
`ResetEnabledbaseline` 输入:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL"
}
```
`ResetEnabledBaseline` 输出:
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
`ResetEnabledBaseline` CLI 示例:
```
aws controltower reset-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `UpdateEnabledBaseline`
有关此 API 操作的更多信息,请参阅[UpdateEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_UpdateEnabledBaseline.html)。
`UpdateEnabledBaseline` 输入:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineVersion": "4.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
`UpdateEnabledBaseline` 输出:
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
`UpdateEnabledBaseline` CLI 示例:
```
aws controltower update-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--baseline-version 4.0
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```