发布于: Sep 1, 2022
AWS Control Tower 客户现在可以跨组织以编程方式大规模管理控件(也称为“防护机制”)。客户可以采用编程方式启用和禁用 AWS Control Tower 库中提供的控件,还可以查看控件的应用程序状态。控件 API 包括 AWS CloudFormation 支持,允许客户将 AWS 资源作为基础设施即代码 (IaC) 进行管理。AWS Control Tower 提供可选的预防性和检测控件,客户可以使用这些控件向整个组织单位 (OU) 以及 OU 中的每个 AWS 账户表达他们的策略意图。这些规则在客户创建新账户或更改现有账户时仍然有效。
要调用这些 API,客户需要了解其视为目标的防护机制的控件 Amazon 资源名称 (ARN),还要了解与目标组织单位 (OU) 关联的 ARN。
- EnableControl - 此 API 调用可激活控件。它启动一个异步操作,用于在指定的组织单位及其包含的账户中创建 AWS 资源。
- DisableControl - 此 API 调用可关闭控件。它启动一个异步操作,用于从指定的组织单位及其包含的账户中删除 AWS 资源。
- GetControlOperation - 返回特定 EnableControl 或 DisableControl 操作的状态。
- ListEnabledControls - 列出由指定的组织单位及其包含的账户中的 AWS Control Tower 启用的控件。
有关可选防护机制的控件名称列表,请参阅 AWS Control Tower 用户指南中的 API 和防护机制的资源标识符。如需查看提供 AWS Control Tower 的 AWS 区域的完整列表,请参阅 AWS 区域表。