範例:僅向 APIs 註冊 AWS Control Tower OU - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

範例:僅向 APIs 註冊 AWS Control Tower OU

此範例演練是配套文件。如需說明、注意事項和詳細資訊,請參閱 基準類型

先決條件

您必須擁有尚未向 AWS Control Tower 註冊的現有 OU,而且您想要註冊。或者,您必須擁有要為更新目的重新註冊的已註冊 OU。

註冊 OU

  1. 檢查是否已為登陸區域IdentityCenterBaseline啟用 。若是如此,請取得 Identity Center Enabled Baseline 識別符。

    aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'
    aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==`<Identity Center Baseline Arn>`].[arn]'

  2. 取得目標 OU 的 ARN。

    aws organizations describe-organizational-unit --organizational-unit-id <Organizational Unit ID> --query 'OrganizationalUnit.[Arn]'

  3. 取得AWSControlTowerBaseline基準的 ARN。

    aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]'

  4. 在目標 OU 上建立AWSControlTowerBaseline基準。

    如果身分中心基準已啟用:

    aws controltower enable-baseline --baseline-identifier <AWSControlTowerBaseline ARN> --baseline-version <BASELINE VERSION> --target-identifier <OU ARN> --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"<Identity Center Enabled Baseline ARN>"}]'

    如果未啟用 Identity Center Baseline,請省略 parameters旗標,如下所示:

    
aws controltower enable-baseline --baseline-identifier <AWSControlTowerBaseline ARN> --baseline-version <BASELINE VERSION> --target-identifier <OU ARN>

重新註冊 OU

更新登陸區域設定或更新您的登陸區域版本後,您必須重新註冊 OUs才能提供最新的變更。請依照下列步驟,重設相關聯的EnabledBaseline資源和任何相關聯的EnabledControl資源,以程式設計方式重新註冊 OU。

重要

如果 OU 已啟用選用控制項,則在重設基準之後,您還必須為每個已啟用的選用控制項呼叫 ResetEnabledControl API。此步驟可確保選用控制項與最新的登陸區域組態保持一致。如果您略過此步驟,OU 上的選用控制項可能不會反映最新的登陸區域變更。如果您沒有啟用任何選用的控制項,則不需要此步驟。

  1. 取得要重新註冊之目標 OU 的 ARN。

    aws organizations describe-organizational-unit --organizational-unit-id <OU ID> --query 'OrganizationalUnit.[Arn]'

  2. 取得目標 OU EnabledBaseline 資源的 ARN。

    aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==`<OUARN>`].[arn]'

  3. 重設已啟用基準。

    aws controltower reset-enabled-baseline --enabled-baseline-identifier <EnabledBaselineArn>

  4. 如果 OU 已啟用選用控制項,請列出 OU 的已啟用控制項,並重設每個控制項,使其與最新的登陸區域組態保持一致。

    列出目標 OU 上已啟用的控制項:

    aws controltower list-enabled-controls --target-identifier <OU ARN>

    對於傳回的每個已啟用的選用控制項,請呼叫 來重設它:

    aws controltower reset-enabled-control --enabled-control-identifier <EnabledControlArn>

    如需詳細資訊,請參閱 AWS Control Tower API 參考中的 ResetEnabledControl