本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 基準類型
AWS Control Tower 中的*基準*是一組資源和特定組態,您可以套用至目標。最常見的基準目標可能是組織單位 (OU)。例如,您可以啟用選取 OU 做為目標的基準,將該 OU 註冊到 AWS Control Tower。
在登陸區域設定期間,可能會在共用帳戶上自動啟用某些基準。根據您的登陸區域設定和組態,可能會啟用和更新特定基準。AWS Control Tower 會以基準指定的方式,建立資源並將其部署到目標。
當您在目標上啟用基準時,基準會以稱為 資源的 AWS `EnabledBaseline` 資源表示。
AWS Control Tower 包含兩種一般類型的基準:
+ 可以在 OU 上啟用的基準。
+ 在登陸區域設定期間,可在共用帳戶上啟用的基準。
## 在 OU 層級套用的基準類型
**注意**
只有適用於 OU 層級的基準可以使用 `EnableBaseline` API 直接啟用。
+ **名稱:** `AWSControlTowerBaseline`
**描述**:此基準會為目標 OU 內的成員帳戶設定資源和控制項,這是合規監控、稽核、安全監控以及選擇性存取管理的必要項目。當您在 AWS Control Tower 中註冊 OU 時,會啟用此基準。
**先決條件**:必須在 AWS Control Tower 登陸區域中啟用 AWS Config 整合。
**考量**:此基準會保留登陸區域**區域拒絕**控制的設定。換句話說,如果登陸區域層級不允許某個區域,當您呼叫 `EnableBaseline` API 註冊 OU 時,該 OU 不允許該區域。
**注意**
OU 層級區域拒絕控制無法允許登陸區域區域拒絕控制不允許的區域。
如需詳細資訊,請參閱 AWS Organizations 文件中的 [ SCPs 如何使用拒絕](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#how_scps_deny)。
**建議**:建議您確認目標 OU 可能正在執行工作負載的區域,並在呼叫 OU 的 `EnableBaseline` API 之前,針對登陸區域區域拒絕控制檢查結果,否則您可能會失去對特定區域中資源的存取權。
+ **名稱:** `ConfigBaseline`
**描述**:此基準會在 Detective 控制項啟用所需的目標 OU 內為成員帳戶設定 AWS Config 相關資源。設定的資源是 AWSControlTowerBaseline 資源的子集。
**先決條件**:必須在 AWS Control Tower 登陸區域中啟用 AWS Config 整合。
**考量**:此基準不會保留登陸區域區域拒絕控制的設定。在啟用 ConfigBaseline 的過程中,不會啟用區域拒絕控制。
**限制**:無法在相同的 OU 上啟用 AWSControlTowerBaseline 和 ConfigBaseline。OU 上只允許其中一個。
+ **名稱:** `BackupBaseline`
**描述**:此基準會設定目標 OU 內成員帳戶的資源和控制項。這些是必要的,以便與 整合 AWS Backup 可以自動化跨 的資料備份 AWS 服務,並集中備份政策管理。
**先決條件:**
+ AWS Backup 整合必須在 AWS Control Tower 登陸區域中啟用。
+ AWS Config 整合必須在 AWS Control Tower 登陸區域中啟用。
+ `AWSControlTowerBaseline` 必須在目標 OU 上啟用 。
**考量**:在目標 OU `BackupBaseline`上啟用 之前,請確定`AWSControlTowerBaseline`已在目標 OU 上啟用 。也就是說,目標 OU 必須在 AWS Control Tower 中註冊。
+ 您可以選擇在建立 AWS Control Tower 登陸區域 AWS Backup 的過程中或在登陸區域更新程序中啟用 。
+ 與登陸區域 3.1 版及更新版本`BackupBaseline`相容。
+ `BackupBaseline` 不會套用至管理帳戶。
## 在登陸區域設定期間,可能套用至共用帳戶的基準類型
AWS Control Tower 會在共用帳戶上啟用特定基準,做為登陸區域設定和更新程序的一部分。當您變更登陸區域設定時,登陸區域的基準可能會變更。例如,如果您選擇加入 IAM Identity Center,AWS Control Tower 可以在您的登陸區域啟用最新版本的`IdentityCenterBaseline`基準。
您可以使用 `ListEnabledBaselines` API 呼叫來檢視登陸區域的已啟用基準。
**注意**
從登陸區域 4.0 版開始,AuditBaseline 會取代為兩個不同的基準: `CentralSecurityRolesBaseline`和 `CentralConfigBaseline`。
+ **名稱:** `CentralConfigBaseline`
**描述**:使用 AWS Config 設定組織中合規監控和稽核的中央資源。
+ **名稱:** `CentralSecurityRolesBaseline`
**描述**:設定組織中安全監控的中央資源。
+ **名稱:** `AuditBaseline`
**描述**:設定資源來監控組織中帳戶的安全性和合規性。
+ **名稱:** `LogArchiveBaseline`
**描述**:為組織中帳戶 API 活動和資源組態的日誌設定中央儲存庫。
+ **名稱:** `IdentityCenterBaseline`
**描述**:設定 IAM Identity Center 的共用資源,這會準備 `AWSControlTowerBaseline` 來設定帳戶的 Identity Center 存取權。
**考量**:只有在您最初設定登陸區域時已選取 IAM Identity Center 做為身分提供者,或隨後變更登陸區域設定以啟用登陸區域的 IAM Identity Center 時,此基準才有效。如果您使用的是不同的身分提供者,您將無法啟用此基準。
+ **名稱:** `BackupCentralVaultBaseline`
**描述**:在組織中設定中央 AWS Backup 保存庫。
+ **名稱:** `BackupAdminBaseline`
**描述**:設定委派的管理員和 AWS Backup Audit Manager。
# 部分註冊帳戶
當您使用基準時,帳戶可以置於稱為**部分註冊**的狀態。
如果您透過呼叫 `ResetEnabledBaseline` API 重新註冊 OU,則可能會發生此狀態,因為 AWS Control Tower 只會將強制性資源套用至目標 OU 中的帳戶。缺少其父 OU 選用資源 (控制項) 的帳戶會標示為**已部分註冊**。
如果您將未註冊的帳戶移至已註冊的 OU,然後呼叫 OU 上的 `ResetEnabledBaseline` API 來註冊該帳戶,AWS Control Tower `AWSControlTowerBaseline`會將與 相關聯的資源套用至新註冊的帳戶。不過,針對此 OU 啟用的選用控制項不會套用至帳戶。帳戶保持**部分註冊**狀態。
若要完整註冊帳戶,請在主控台中選擇**重新註冊**或**更新帳戶**。當您從主控台選取這些操作時,AWS Control Tower 會將該 OU 的所有資源套用至新註冊的帳戶,包括針對該 OU 啟用的選用控制項。
# AWS Control Tower 主控台與基準 APIs 之間的操作變化
當您變更 OU 的控管狀態時,相較於透過基準APIs 變更控管,AWS Control Tower 主控台會自動為您執行更多操作。
**差異**
+ **註冊和佈建產品**
當您透過主控台註冊 OU 時,AWS Control Tower 會為 OU 的成員帳戶建立 Service Catalog 產品,做為註冊每個帳戶的一部分。當您透過 `EnableBaseline` API 和 註冊 OU 時`AWSControlTowerBaseline`,AWS Control Tower 不會為 OU 中的成員帳戶建立佈建產品。
+ **取消註冊 OU**
每當您取消註冊 OU 時,您必須先移除所有成員帳戶和巢狀 OUs。然後,AWS Control Tower 會移除套用至 OU 的所有控制項。
+ 如果您從主控台選取**刪除 OU**,AWS Control Tower 會繼續取消註冊,然後從組織刪除 OU。
+ 不過,如果您透過呼叫 `DisableBaseline` API 從 OU `AWSControlTowerBaseline` 中移除 來取消註冊 OU,AWS Control Tower 不會從您的組織刪除 OU,則 OU 仍存在於組織中,且已取消註冊。
## 已啟用基準和成員帳戶
當您在 OU 上啟用基準時,該組態會由 OU 的成員帳戶繼承。由於繼承的事實,當我們參考帳戶時,會將其稱為*子啟用基準*。套用至 OU 的基準稱為*已啟用父基準*。父系啟用基準控制其子系啟用基準的組態。這類似於在 OU 上啟用的控制項如何套用至 OU 中的每個帳戶。
**檢視帳戶的基準狀態**
AWS Control Tower 不允許您使用基準直接鎖定帳戶。不過,您可以透過每個成員帳戶的繼承子啟用基準來追蹤其啟用和偏離狀態。若要檢視帳戶的狀態,您可以使用 `includeChildren`功能旗標呼叫 [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html) API。
**停用帳戶的基準**
AWS Control Tower 不允許您停用連結至父系啟用基準的子系啟用基準。如果子系啟用的基準偏離且不再連結至父系啟用的基準,則可以停用子系啟用的基準。
## 基準和版本控制預設值
如果您的 AWS Control Tower 登陸區域已設定,然後選擇啟用登陸區域基準,則 AWS Control Tower 會啟用與您的登陸區域版本相容的最新版本基準。如果您選擇為尚未向 AWS Control Tower 註冊的 OU 啟用基準,AWS Control Tower 會自動提供該 OU 基準的最新相容版本。
# OU 基準和登陸區域版本的相容性
如果您的業務需要,AWS Control Tower 基準可讓您在 OU 層級設定控管標準,而不是在登陸區域層級設定控管標準。稱為 的基準`AWSControlTowerBaseline`可協助您向 AWS Control Tower 註冊 OUs。
**注意**
*基準*是一組控制項和資源,共同在您的登陸區域內建立穩定的控管環境。
當您在 OU 上啟用基準時,透過呼叫 AWS Control Tower 中的 `EnableBaseline` API,您必須指定與目前 AWS Control Tower 登陸區域版本相容的基準版本。指定基準後,OU 中的所有成員帳戶都會遵循針對 OU 提供的基準。換言之,新帳戶會以更新的基準進行佈建,現有成員帳戶會根據新基準進行管理。
如果您未選取現有 OUs 和帳戶的基準,則登陸區域版本預設會決定整個控管狀態。不過,您登陸區域中的每個已註冊 OU 都會指派一個基準版本,這是與您目前登陸區域版本相容的最新基準。因此,即使您從未特別指派基準,每個 OU 和註冊成員帳戶都有相關聯的基準。
對於 OU 層級基準 `AWSControlTowerBaseline`,下表顯示基準與 AWS Control Tower 登陸區域版本的相容性。
| **基準版本** | **登陸區域版本** | **包含的藍圖** | **與上一個基準相比的變化** |
| --- | --- | --- | --- |
| 1.0 | 2.0 到 2.7 | BP\$1BASELINE\$1CLOUDTRAIL、BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1ROLES、IAM 資源 | 無 |
| 2.0 | 2.8 到 2.9 | BP\$1BASELINE\$1CLOUDTRAIL、BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1ROLES、Config SLR、IAM 資源 | 新增使用 SLR AWS Config 的服務連結角色 (SLR) 和新的 Config 藍圖 |
| 3.0 | 3.0 到 3.1 | BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1ROLES、Config SLR、IAM 資源 | 新的 AWS Config 藍圖。變更為僅在主區域中記錄全域資源。已移除 CloudTrail 藍圖 |
| 4.0 | 3.2 到 3.3 | BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE、BP\$1BASELINE\$1SERVICE\$1ROLES、Config SLR、IAM 資源 | 新的 SLR 藍圖 |
| 5.0 | 4.0 | BP\$1BASELINE\$1CLOUDWATCH、BP\$1BASELINE\$1CONFIG、BP\$1BASELINE\$1ROLES、BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE、BP\$1BASELINE\$1SERVICE\$1ROLES、Config SLR、IAM 資源 | 已移除 AWS Config 彙總授權 (s)。不需要每個成員帳戶的 AWS Config 彙總授權,因為 LandingZone 4.0 版採用的 AWS Organizations Config 彙總工具可存取組織中的所有成員帳戶。 |
如需設定登陸區域時在帳戶中建立之特定資源的詳細資訊,請參閱[共用帳戶中建立的資源](https://docs.aws.amazon.com//controltower/latest/userguide/shared-account-resources.html)。
如果您將登陸區域更新為支援較新`AWSControlTowerBaseline`基準版本的版本,且新的登陸區域版本與您現有的基準版本相容,則您的 OU 狀態會變更為**可用的更新**。
+ 您可以繼續使用帳戶工廠和其他功能,而無需立即更新 OU 基準,但登陸區域從 2.x 更新到 3.x 的情況除外。
+ 在此 OU 中註冊的新帳戶會根據現有的基準版本接收資源,直到基準版本更新為止 (在 主控台中使用**擴展控管**功能,或透過 `UpdateEnabledBaseline` API)。
+ 更新基準版本後,該 OU 中的所有帳戶都會根據新的基準版本接收資源。
**注意**
如果您將 AWS Control Tower 登陸區域從任何 2.X 版更新至任何 3.X 版,您也必須在 OUs 上更新基準版本,因為從帳戶層級變更為組織層級 AWS CloudTrail 追蹤。在 主控台中,您的 OU 會顯示**需要更新**的狀態。
**基準的考量事項**
+ 如果您的 OU 需要基準更新,則無法佈建新帳戶或將現有帳戶註冊到該 OU。
+ 更新登陸區域後,如果您也計劃更新 OU 基準,則必須以程式設計方式重新註冊 OU 或更新 OU 基準版本。
+ 我們建議您更新到所使用登陸區域版本的最高相容基準,以便獲得登陸區域和基準組合的所有優點。例如,如果您更新到登陸區域 3.3 版,您可以繼續使用基準 3.0,但除非您也更新到基準 4.0,否則無法獲得登陸區域 3.3 版的所有好處。
+ 基準更新無法復原。
+ 基準啟用一次以一個 OU 為目標。因此,在父 OUs 更新時,不會自動更新巢狀 OU。建議您先更新父 OU,再更新巢狀 OUs。
+ 當您從主控台呼叫 `UpdateEnabledBaseline` API 或重新註冊 OU 時,OU 會保留基準更新之前啟用的所有控制項。
+ 當多個基準版本與您的登陸區域版本相容時,如果您在未受管 OU 上啟用基準,則必須使用最新的基準版本。
# 範例:僅向 APIs 註冊 AWS Control Tower OU
此範例演練是配套文件。如需說明、注意事項和詳細資訊,請參閱 [基準類型](types-of-baselines.md)。
**先決條件**
您必須擁有尚未向 AWS Control Tower 註冊的現有 OU,而且您想要註冊。或者,您必須擁有要為更新目的重新註冊的已註冊 OU。
**註冊 OU**
1. 檢查是否已為登陸區域`IdentityCenterBaseline`啟用 。若是如此,請取得 Identity Center Enabled Baseline 識別符。
```
aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'
```
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==``].[arn]'
```
1. 取得目標 OU 的 ARN。
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. 取得`AWSControlTowerBaseline`基準的 ARN。
```
aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]'
```
1. 在目標 OU 上建立`AWSControlTowerBaseline`基準。
*如果身分中心基準已啟用:*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":""}]'
```
*如果未啟用 Identity Center Baseline,請省略 `parameters`旗標,如下所示:*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier
```
**重新註冊 OU**
更新登陸區域設定或更新您的登陸區域版本後,您必須**重新註冊** OUs才能提供最新的變更。請依照下列步驟,重設相關聯的`EnabledBaseline`資源和任何相關聯的`EnabledControl`資源,以程式設計方式重新註冊 OU。
**重要**
如果 OU 已啟用選用控制項,則在重設基準之後,您還必須為每個已啟用的選用控制項呼叫 [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html) API。此步驟可確保選用控制項與最新的登陸區域組態保持一致。如果您略過此步驟,OU 上的選用控制項可能不會反映最新的登陸區域變更。如果您沒有啟用任何選用的控制項,則不需要此步驟。
1. 取得要重新註冊之目標 OU 的 ARN。
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. 取得目標 OU `EnabledBaseline` 資源的 ARN。
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==``].[arn]'
```
1. 重設已啟用基準。
```
aws controltower reset-enabled-baseline --enabled-baseline-identifier
```
1. 如果 OU 已啟用選用控制項,請列出 OU 的已啟用控制項,並重設每個控制項,使其與最新的登陸區域組態保持一致。
列出目標 OU 上已啟用的控制項:
```
aws controltower list-enabled-controls --target-identifier
```
對於傳回的每個已啟用的選用控制項,請呼叫 來重設它:
```
aws controltower reset-enabled-control --enabled-control-identifier
```
如需詳細資訊,請參閱 *AWS Control Tower API 參考*中的 [ResetEnabledControl](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)。
# 基準 API 用量的範例
本節包含 AWS Control Tower 基準 APIs 的輸入和輸出參數範例。
## `DisableBaseline`
如需此 API 操作的詳細資訊,請參閱 [DisableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_DisableBaseline.html)。
`DisableBaseline` 輸入:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789"
}
```
`DisableBaseline` 輸出:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
`DisableBaseline` CLI 範例:
```
aws controltower disable-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789 \
--region us-west-2
```
## `EnableBaseline`
如需此 API 操作的詳細資訊,請參閱 [EnableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_EnableBaseline.html)。
`EnableBaseline` 輸入:
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"baselineVersion": "3.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
`EnableBaseline` 輸出,傳回新資源:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAGF7TNOHRD7ES5VV"
}
```
`EnableBaseline` CLI 範例:
此範例顯示為已選擇加入 IAM Identity Center AWS 存取權 AWS Organizations 的組織啟用基準,該組織由 AWS Control Tower 管理。若要擷取 Identity Center `EnabledBaseline`識別符,您可以呼叫 `ListEnabledBaselines` API,在 Identity Center 基準上進行篩選: `(arn:aws:controltower:Region::baseline/LN25R72TTG6IGPTQ)`
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
回應會顯示`EnabledBaseline`詳細資訊,顯示其識別符。
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ",
"targetIdentifier": "arn:aws:organizations::123456789012:account/o-aq21sw43de5/123456789012",
"statusSummary": {
"status": "SUCCEEDED"
}
}
]
}
```
**注意**
記下回應中的 ARN 值,並將此值做為參數傳遞,以啟用預設基準。
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```
對於登陸區域已從 IAM Identity Center 的 AWS Control Tower 管理選擇退出的組織,請啟用不含 參數的基準。
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--region us-west-2
```
## `GetBaseline`
如需此 API 操作的詳細資訊,請參閱 [GetBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaseline.html)。
`GetBaseline` 輸入:
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2"
}
```
`GetBaseline` 輸出:
```
{
"arn": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance.",
}
```
`GetBaseline` CLI 範例:
```
aws controltower get-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `GetBaselineOperation`
如需此 API 操作的詳細資訊,請參閱 [GetBaselineOperation](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaselineOperation.html)。
`GetBaselineOperation` 輸入:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
`GetBaselineOperation` 輸出:
```
{
"baselineOperation": {
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"operationType": "DISABLE_BASELINE",
"status": "FAILED",
"startTime": "2023-01-12T19:05:00Z",
"endTime": "2023-01-12T19:45:00Z",
"statusMessage": "Can't perform DisableBaseline on a parent target with governed child OUs"
}
}
```
`GetBaselineOperation` CLI 範例:
```
aws controltower get-baseline-operation \
--operation-identifier 58f12232-26be-4735-a3e9-dd30d90f021f \
--region us-west-2
```
## `GetEnabledBaseline`
如需此 API 操作的詳細資訊,請參閱 [GetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetEnabledBaseline.html)。
`GetEnabledBaseline` 輸入:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
```
`GetEnabledBaseline` 輸出:
```
{
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
}
```
`GetEnabledBaseline` CLI 範例:
```
aws controltower get-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `ListBaselines`
如需此 API 操作的詳細資訊,請參閱 [ListBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListBaselines.html)。
`ListBaselines` input (使用選用輸入):
```
{
"nextToken": "AbCd1234",
"maxResults": "4"
}
```
`ListBaselines` 輸出:
```
{
"baselines": [
{
"arn": "arn:aws:controltower:us-east-1::baseline/4T4HA1KMO10S6311",
"name": "AuditBaseline",
"description": "Sets up resources to monitor security and compliance of accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/J8HX46AHS5MIKQPD",
"name": "LogArchiveBaseline",
"description": "Sets up a central repository for logs of API activities and resource configurations from accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/LN25R72TTG6IGPTQ",
"name": "IdentityCenterBaseline",
"description": "Sets up shared resources for AWS Identity Center, which prepares the AWSControlTowerBaseline to set up Identity Center access for accounts."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/3WPD0NA6TJ9AOMU2",
"name": "BackupCentralVaultBaseline",
"description": "Sets up central AWS Backup vault in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/H6C5JFCJJ3CPU3J5",
"name": "BackupManagerBaseline",
"description": "Sets up delegated admin and AWS Backup Audit Manager."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"name": "BackupBaseline",
"description": "Sets up local Backup vault and attach Backup policy."
}
]
}
```
`ListBaselines` CLI 範例:
```
aws controltower list-baselines \
--region us-west-2
```
## `ListEnabledBaselines`
`ListEnabledBaselines` API 具有選用參數,可讓您檢視套用到屬於 OU 成員之帳戶的基準。以下範例顯示一些 CLI 命令,您可以用來檢視帳戶的基準。AWS Control Tower 是指在 OU 上啟用的這些基準,但會套用到 OU 中的每個帳戶,做為*子啟用的基準*,因為它們從在 OU 上套用的基準衍生其控管組態。
如需此 API 操作的詳細資訊,請參閱 [ListEnabledBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html)。
`ListEnabledBaselines` 輸入以顯示子啟用的基準:
```
aws controltower list-enabled-baselines --include-children
```
`ListEnabledBaselines` 輸出以檢視子啟用的基準:
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XO2UQ1PC6BB5085S5",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "07d6d2b8-e357-4f96-ba00-98ea88143445",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:ou/o-vaex10vaey/ou-k86y-ld9k8vpu"
},
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XAFPKQQXOJB50ZWQH",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"parentIdentifier": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XOIZ4G08CWB50ZWON",
"statusSummary": {
"lastOperationIdentifier": "3508793e-48c8-4895-965b-3dc6abd52b6b",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:account/o-vaex10vaey/183295447314"
}
]
```
**注意**
在上述範例中, `parentIdentifier` 欄位會顯示此子系已啟用基準的父系 OU 已啟用基準。
檢視套用至特定目標 (OU 或帳戶) 的所有基準:
```
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["TARGET_ARN"]
}
```
檢視具有特定基準的所有 OUs:
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}'
```
檢視具有特定基準的所有 OUs和帳戶:
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}' \
--include-children
```
檢視 OU 中已啟用基準 B 的所有帳戶:
```
### First fetch the enabled baseline record for Baseline B on the OU
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["OU_TARGET_ARN"],
"baselineIdentifiers": ["BASELINE_ARN_FOR_BASELINE_B"]
}'
### Call ListEnabled baseline to fetch all accounts that have their parent as the enabled baseline record on the OU
aws controltower list-enabled-baselines \
--filter '{
"parentIdentifiers": ["ENABLED_BASELINE_ARN_FOR_OU"]
}' \
--include-children
```
**有關子系啟用基準的更多資訊**
您可以使用 `GetEnabledBaseline` API 來檢視已啟用特定子系基準的詳細資訊
您可以使用 `GetBaselineOperation` API 來檢視在子已啟用基準上執行的操作
您無法在已啟用子基準上直接呼叫任何寫入 APIs`DisableBaseline`,例如 `UpdateEnabledBaseline`、 `EnableBaseline``ResetEnabledBaseline`或 。
子系啟用的基準資源只能透過 AWS Control Tower 服務、在父系 OU 上執行的操作,或透過 Account Factory 進行修改。
使用篩選條件的範例:
`ListEnabledBaselines` input (無篩選條件):
```
{
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines` input (`baselineIdentifiers` 僅限篩選條件):
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2', 'arn:aws:controltower:us-east-1::baseline/12GZU8CKZKVMS2AW']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines` input (`targetIdentifiers` 僅限篩選條件):
```
{
"filter": {
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317', 'arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-11q6n2cf']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 2
}
```
`ListEnabledBaselines` 輸入 (`baselineIdentifiers` 和 `targetIdentifiers`篩選條件):
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2']
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines` 輸出:
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
},
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "4.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317",
"statusSummary": {
"status": "FAILED",
"lastOperationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
}
],
"nextToken": "e2bXXXXX6cab"
}
```
具有一種篩選條件 (`baselineIdentifiers` 篩選條件) 的 CLI 範例:
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2,arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
使用多個篩選條件 (`baselineIdentifiers` 和 `targetIdentifiers` 篩選條件) 的 CLI 範例:
```
aws controltower list-enabled-baselines \
--filter targetIdentifiers=arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65,baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `ResetEnabledBaseline`
如需此 API 操作的詳細資訊,請參閱 [ResetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html)。
`ResetEnabledbaseline` 輸入:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL"
}
```
`ResetEnabledBaseline` 輸出:
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
`ResetEnabledBaseline` CLI 範例:
```
aws controltower reset-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `UpdateEnabledBaseline`
如需此 API 操作的詳細資訊,請參閱 [UpdateEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_UpdateEnabledBaseline.html)。
`UpdateEnabledBaseline` 輸入:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineVersion": "4.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
`UpdateEnabledBaseline` 輸出:
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
`UpdateEnabledBaseline` CLI 範例:
```
aws controltower update-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--baseline-version 4.0
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```