Nội dung cập nhật API
Danh sách các API được thêm vào trong cập nhật này:
- EnableBaseline/UpdateEnabledBaseline/DisableBaseline: Kích hoạt, cập nhật, vô hiệu hóa baseline trên OU
- GetEnabledBaseline/ListEnabledBaselines: Lấy thông tin về baseline đã kích hoạt
- GetBaselineOperation: Giám sát hoạt động của một OU cụ thể
- ResetEnabledBaseline: Sử dụng baseline đã kích hoạt để sửa đổi sự lệch tài nguyên của OU
- GetBaseline/ListBaselines: Lấy thông tin về các baseline được quản lý bởi AWS Control Tower
- Các AWS Control Tower baselines được kích hoạt bao gồm cấu hình, kiểm soát và tài nguyên cần thiết cho AWS Control Tower governance.
Ngoài ra, API đã hỗ trợ cho AWS CloudFormation, giúp quản lý OU trên Infrastructure as Code (IaC).
Điều kiện để vận hành bằng API
- Nếu OU yêu cầu cập nhật baseline, bạn không thể tạo mới hoặc đăng ký tài khoản hiện có vào OU tương ứng.
- Nếu dự định cập nhật OU baseline sau khi cập nhật landing zone, bạn phải đăng ký lại OU hoặc cập nhật lại phiên bản OU baseline thông qua program.
- Nên cập nhật phiên bản baseline cao nhất tương thích với phiên bản landing zone đang sử dụng.
- Không thể khôi phục lại phiên bản baseline trước đó.
- Việc kích hoạt baseline chỉ áp dụng cho một OU trong một thời điểm. Do đó, kể cả khi OU được cập nhật thì OU lồng nhau cũng không được tự động cập nhật. Cần cập nhật OU gốc trước khi cập nhật OU lồng nhau.
- Khi gọi API UpdateEnabledBaseline hoặc đăng ký lại OU từ console, tất cả các control đã được kích hoạt trước khi cập nhật baseline sẽ được OU lưu lại.
- Nếu có nhiều phiên bản baseline tương thích với phiên bản của landing zone, khi kích hoạt baseline trên unmanaged OU, bạn cần phải sử dụng phiên bản baseline mới nhất.
Cách vô hiệu hoá Baseline (DisableBaseline)
aws controltower disable-baseline \ --enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789 \ --region us-west-2
Cách kích hoạt Baseline (EnableBaseline)
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"baselineVersion": "3.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
AWS Control Tower có thể vận hành bằng các API khác
Trong bản cập nhật tháng 11 năm 2023, bạn đã có thể sử dụng API để tự động hóa vận hành landing zone của AWS Control Tower.
Dưới đây là các API được hỗ trợ thêm vào thời điểm đó:
- GetLandingZone/ListLandingZones – Phát hiện các tùy chọn cấu hình của landing zone.
- CreateLandingZone/UpdateLandingZone/DeleteLandingZone – Quản lý các tài nguyên của landing zone.
- ResetLandingZone – Sửa chữa sự sai lệch của landing zone.
- GetLandingZoneOperation – Theo dõi các thay đổi đang tiến hành.
Tổng kết
Trước đây các công việc này chỉ được thực hiện qua Management Console, nhưng bây giờ bạn đã có thể dễ dàng thực hiện qua API level mà không cần sử dụng GUI. Vì vậy, khi UI thay đổi có thể đối ứng mà không cần chỉnh sửa tài liệu hướng dẫn, và có thể hỗ trợ quản lý tập trung thông qua IaC (Infrastructure as Code).
Tham khảo : 【アップデート】APIを利用して、AWS Control TowerのOUが操作できるようになりました | SunnyCloud
Comments
[…] bạn sử dụng IAM Identity Center và thêm tài khoản AWS mới từ Organizations, tốt nhất là sử dụng mà không cần đặt mật khẩu cho tài khoản gốc, nhưng […]