本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # OU 基準和登陸區域版本的相容性 如果您的業務需要,AWS Control Tower 基準可讓您在 OU 層級設定控管標準,而不是在登陸區域層級設定控管標準。稱為 的基準`AWSControlTowerBaseline`可協助您向 AWS Control Tower 註冊 OUs。 **注意** *基準*是一組控制項和資源,共同在您的登陸區域內建立穩定的控管環境。 當您在 OU 上啟用基準時,透過呼叫 AWS Control Tower 中的 `EnableBaseline` API,您必須指定與目前 AWS Control Tower 登陸區域版本相容的基準版本。指定基準後,OU 中的所有成員帳戶都會遵循針對 OU 提供的基準。換言之,新帳戶會以更新的基準進行佈建,現有成員帳戶會根據新基準進行管理。 如果您未選取現有 OUs 和帳戶的基準,則登陸區域版本預設會決定整個控管狀態。不過,您登陸區域中的每個已註冊 OU 都會指派一個基準版本,這是與您目前登陸區域版本相容的最新基準。因此,即使您從未特別指派基準,每個 OU 和註冊成員帳戶都有相關聯的基準。 對於 OU 層級基準 `AWSControlTowerBaseline`,下表顯示基準與 AWS Control Tower 登陸區域版本的相容性。 | **基準版本** | **登陸區域版本** | **包含的藍圖** | **與上一個基準相比的變化** | | --- | --- | --- | --- | | 1.0 | 2.0 到 2.7 | BP\$1BASELINE\$1CLOUDTRAIL、BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1ROLES、IAM 資源 | 無 | | 2.0 | 2.8 到 2.9 | BP\$1BASELINE\$1CLOUDTRAIL、BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1ROLES、Config SLR、IAM 資源 | 新增使用 SLR AWS Config 的服務連結角色 (SLR) 和新的 Config 藍圖 | | 3.0 | 3.0 到 3.1 | BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1ROLES、Config SLR、IAM 資源 | 新的 AWS Config 藍圖。變更為僅在主區域中記錄全域資源。已移除 CloudTrail 藍圖 | | 4.0 | 3.2 到 3.3 | BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE、BP\$1BASELINE\$1SERVICE\$1ROLES、Config SLR、IAM 資源 | 新的 SLR 藍圖 | | 5.0 | 4.0 | BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE、BP\$1BASELINE\$1SERVICE\$1ROLES、Config SLR、IAM 資源 | 已移除 AWS Config 彙總授權 (s)。不需要每個成員帳戶的 AWS Config 彙總授權,因為 LandingZone 4.0 版採用的 AWS Organizations Config 彙總工具可存取組織中的所有成員帳戶。 | 如需設定登陸區域時在帳戶中建立之特定資源的詳細資訊,請參閱[共用帳戶中建立的資源](https://docs.aws.amazon.com//controltower/latest/userguide/shared-account-resources.html)。 如果您將登陸區域更新為支援較新`AWSControlTowerBaseline`基準版本的版本,且新的登陸區域版本與您現有的基準版本相容,則您的 OU 狀態會變更為**可用的更新**。 + 您可以繼續使用帳戶工廠和其他功能,而無需立即更新 OU 基準,但登陸區域從 2.x 更新到 3.x 的情況除外。 + 在此 OU 中註冊的新帳戶會根據現有的基準版本接收資源,直到基準版本更新為止 (在 主控台中使用**擴展控管**功能,或透過 `UpdateEnabledBaseline` API)。 + 更新基準版本後,該 OU 中的所有帳戶都會根據新的基準版本接收資源。 **注意** 如果您將 AWS Control Tower 登陸區域從任何 2.X 版更新至任何 3.X 版,您也必須在 OUs 上更新基準版本,因為從帳戶層級變更為組織層級 AWS CloudTrail 追蹤。在 主控台中,您的 OU 會顯示**需要更新**的狀態。 **基準的考量事項** + 如果您的 OU 需要基準更新,則無法佈建新帳戶或將現有帳戶註冊到該 OU。 + 更新登陸區域後,如果您也計劃更新 OU 基準,則必須以程式設計方式重新註冊 OU 或更新 OU 基準版本。 + 我們建議您更新到所使用登陸區域版本的最高相容基準,以便獲得登陸區域和基準組合的所有優點。例如,如果您更新到登陸區域 3.3 版,您可以繼續使用基準 3.0,但除非您也更新到基準 4.0,否則無法獲得登陸區域 3.3 版的所有好處。 + 基準更新無法復原。 + 基準啟用一次以一個 OU 為目標。因此,在父 OUs 更新時,不會自動更新巢狀 OU。建議您先更新父 OU,再更新巢狀 OUs。 + 當您從主控台呼叫 `UpdateEnabledBaseline` API 或重新註冊 OU 時,OU 會保留基準更新之前啟用的所有控制項。 + 當多個基準版本與您的登陸區域版本相容時,如果您在未受管 OU 上啟用基準,則必須使用最新的基準版本。