AWS Control Tower Ejemplos de usando AWS CLI

En los siguientes ejemplos de código se muestra cómo realizar acciones e implementar escenarios comunes usando AWS Command Line Interface con AWS Control Tower.

Las acciones son extractos de código de programas más grandes y deben ejecutarse en contexto. Mientras las acciones muestran cómo llamar a las distintas funciones de servicio, es posible ver las acciones en contexto en los escenarios relacionados.

En cada ejemplo se incluye un enlace al código de origen completo, con instrucciones de configuración y ejecución del código en el contexto.

Temas

Acciones

Acciones

En el siguiente ejemplo de código, se muestra cómo utilizar create-landing-zone.

AWS CLI

Creación de una zona de aterrizaje de Control Tower

En el ejemplo de create-landing-zone siguiente, se crea una zona de aterrizaje de AWS Control Tower.


aws controltower create-landing-zone \
    --landing-zone-version 3.3 \
    --manifest "file://LandingZoneManifest.json"

Salida:


{
    "arn": "arn:aws:controltower:us-east-1:123456789012:landingzone/13CJG46WZKXXX4X5",
    "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}

Para obtener más información, consulte Introducción a AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte CreateLandingZone en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar delete-landing-zone.

AWS CLI

Retiro de una zona de aterrizaje

En el ejemplo de delete-landing-zone siguiente, se retira la zona de aterrizaje de AWS Control Tower.


aws controltower delete-landing-zone \
    --landing-zone-identifier arn:aws:controltower:us-east-1:123456789012:landingzone/13CJG46WZKXXX4X5

Salida:


{
    "operationIdentifier": "47XXXXXX-a6XX-82XX-c9XX-432XXXXXXXXX"
}

Para obtener más información, consulte Retirar una zona de aterrizaje de AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte DeleteLandingZone en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar disable-baseline.

AWS CLI

Desactivación de una referencia de Control Tower

En el ejemplo de disable-baseline siguiente, se desactiva una referencia de AWS Control Tower.


aws controltower disable-baseline \
    --enabled-baseline-identifier arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XOM12BEL4YD578CQ2

Salida:


{
    "operationIdentifier": "b33486d7-5396-4ad0-9eae-3a57969fe8cd"
}

Para obtener más información, consulte Tipos de referencia en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte DisableBaseline en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar disable-control.

AWS CLI

Desactivación de un control de Control Tower

En el ejemplo de disable-control siguiente, se desactiva un control habilitado de AWS Control Tower.


aws controltower disable-control \
    --control-identifier arn:aws:controlcatalog:::control/497wrm2xnk1wxlf4obrxxxxxx \
    --target-identifier arn:aws:organizations::123456789012:ou/o-s64ryxxxxx/ou-oqxx-i5wnxxxx

Salida:


{
    "operationIdentifier": "b8f0dxxx-08xx-43xx-a2xx-568e9922xxxx"
}

Para obtener más información, consulte Acerca de los controles en AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte DisableControl en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar enable-baseline.

AWS CLI

Ejemplo 1: habilitar una referencia de Control Tower que esté desactivada

En el ejemplo de enable-baseline siguiente, se habilita una referencia de AWS Control Tower si la referencia IdentityCenterBaseline está desactivada.


aws controltower enable-baseline \
    --baseline-identifier arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2 \
    --baseline-version 4.0 \
    --target-identifier arn:aws:organizations::123456789012:ou/o-s64ryixxxx/ou-oq9f-i5wnxxxx

Salida:


{
    "arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XOM12BEL4YD578CQ2",
    "operationIdentifier": "51e190ac-8a37-4f6d-b63c-fb5104b5db38"
}

Para obtener más información, consulte Tipos de referencia en la Guía del usuario de AWS Control Tower.

Ejemplo 2: habilitar una referencia de Control Tower que esté habilitada

En el ejemplo de enable-baseline siguiente, se habilita una referencia de AWS Control Tower si la referencia IdentityCenterBaseline está habilitada.


aws controltower enable-baseline \
    --baseline-identifier arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2 \
    --baseline-version 4.0 \
    --target-identifier arn:aws:organizations::123456789012:ou/o-s64ryixxxx/ou-oqxx-i5wnxxxx \
    --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJNZNCBC1I386C7B"}]'

Salida:


{
    "arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XOM12BEL4YD578CQ2",
    "operationIdentifier": "51e190ac-8a37-4f6d-b63c-fb5104b5db38"
}

Para obtener más información, consulte Tipos de referencia en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte EnableBaseline en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar enable-control.

AWS CLI

Habilitación de un control de Control Tower

En el ejemplo de enable-control siguiente, se habilita un control de AWS Control Tower.


aws controltower enable-control \
    --control-identifier arn:aws:controlcatalog:::control/497wrm2xnk1wxlf4obrxxxxxx \
    --target-identifier arn:aws:organizations::123456789012:ou/o-s64ryxxxxx/ou-oqxx-i5wnxxxx

Salida:


{
    "arn": "arn:aws:controltower:us-east-1:123456789012:enabledcontrol/18J5KBJ3W3VTIRLV",
    "operationIdentifier": "7691fc5a-de87-4540-8c95-b0aabd56382c"
}

Para obtener más información, consulte Acerca de los controles en AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte EnableControl en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar get-baseline-operation.

AWS CLI

Obtención de una operación de referencia de Control Tower

En el ejemplo de get-baseline-operation siguiente, se obtienen detalles de una operación de referencia de AWS Control Tower.


aws controltower get-baseline-operation \
    --operation-identifier "51e190ac-8a37-4f6d-b63c-fb5104b5db38"

Salida:


{
    "baselineOperation": {
        "endTime": "2025-04-17T23:48:46+00:00",
        "operationIdentifier": "51e190ac-8a37-4f6d-b63c-fb5104b5db38",
        "operationType": "ENABLE_BASELINE",
        "startTime": "2025-04-17T23:46:37+00:00",
        "status": "SUCCEEDED",
        "statusMessage": "AWS Control Tower completed the baseline operation successfully."
    }
}

Para obtener más información, consulte Tipos de referencia en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte GetBaselineOperation en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar get-baseline.

AWS CLI

Obtención de una referencia de Control Tower

En el ejemplo de get-baseline siguiente, se obtienen detalles de referencia de AWS Control Tower.


aws controltower get-baseline \
    --baseline-identifier arn:aws:controltower:us-east-1::baseline/LN25R72TTG6IGPTQ

Salida:


{
    "arn": "arn:aws:controltower:us-east-1::baseline/LN25R72TTG6IGPTQ",
    "description": "Sets up shared resources for AWS Identity Center, which prepares the AWSControlTowerBaseline to set up Identity Center access for accounts.",
    "name": "IdentityCenterBaseline"
}

Para obtener más información, consulte Tipos de referencia en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte GetBaseline en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar get-control-operation.

AWS CLI

Obtención de las operaciones de control de Control Tower

En el ejemplo de get-control-operation siguiente, se obtienen detalles de una operación de control de AWS Control Tower.


aws controltower get-control-operation \
    --operation-identifier "7691fc5a-de87-4540-8c95-b0aabd56382c"

Salida:


{
    "controlOperation": {
        "controlIdentifier": "arn:aws:controlcatalog:::control/497wrm2xnk1wxlf4obrdo7mej",
        "enabledControlIdentifier": "arn:aws:controltower:us-east-1:123456789012:enabledcontrol/18J5KBJ3W3VTIRLV",
        "endTime": "2025-04-17T03:08:55+00:00",
        "operationIdentifier": "7691fc5a-de87-4540-8c95-b0aabd56382c",
        "operationType": "ENABLE_CONTROL",
        "startTime": "2025-04-17T03:07:52+00:00",
        "status": "SUCCEEDED",
        "statusMessage": "Operation was successful.",
        "targetIdentifier": "arn:aws:organizations::123456789012:ou/o-s64ryixxxx/ou-oqxx-i5wnxxxx"
    }
}

Para obtener más información, consulte Acerca de los controles en AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte GetControlOperation en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar get-enabled-baseline.

AWS CLI

Obtención de una referencia habilitada de Control Tower

En el ejemplo de get-enabled-baseline siguiente, se obtienen detalles de una referencia habilitada de AWS Control Tower.


aws controltower get-enabled-baseline \
    --enabled-baseline-identifier arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XOM12BEL4YD578CQ2

Salida:


{
    "enabledBaselineDetails": {
        "arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XOM12BEL4YD578CQ2",
        "baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2",
        "baselineVersion": "4.0",
        "parameters": [
            {
                "key": "IdentityCenterEnabledBaselineArn",
                "value": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJNZNCBC1I386C7B"
            }
        ],
        "statusSummary": {
            "lastOperationIdentifier": "51e190ac-8a37-4f6d-b63c-fb5104b5db38",
            "status": "SUCCEEDED"
        },
        "targetIdentifier": "arn:aws:organizations::123456789012:ou/o-3onqfufxxx/ou-g8xx-5kluxxxx"
    }
}

Para obtener más información, consulte Tipos de referencia en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte GetEnabledBaseline en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar get-enabled-control.

AWS CLI

Obtención de un control habilitado de Control Tower

En el ejemplo de get-enabled-control siguiente, se obtienen detalles de un control habilitado de AWS Control Tower.


aws controltower get-enabled-control \
    --enabled-control-identifier arn:aws:controltower:us-east-1:123456789012:enabledcontrol/26RGJRSLXCP1KW8D

Salida:


{
    "enabledControlDetails": {
        "arn": "arn:aws:controltower:us-east-1:123456789012:enabledcontrol/26RGJRSLXCP1KW8D",
        "controlIdentifier": "arn:aws:controltower:us-east-1::control/AWS-GR_CLOUDTRAIL_CHANGE_PROHIBITED",
        "driftStatusSummary": {
             "driftStatus": "NOT_CHECKING"
        },
        "parameters": [],
        "statusSummary": {
            "status": "SUCCEEDED"
        },
        "targetIdentifier": "arn:aws:organizations::123456789012:ou/o-s64ryixxxx/ou-oqxx-i5wnxxxx",
        "targetRegions": [
            {
                "name": "ap-south-2"
            },
            {
                "name": "ap-south-1"
            },
            {
                "name": "eu-south-1"
            },
            {
                "name": "us-east-1"
            }
        ]
    }
}

Para obtener más información, consulte Acerca de los controles en AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte GetEnabledControl en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar get-landing-zone-operation.

AWS CLI

Obtención de una operación de la zona de aterrizaje de Control Tower

En el ejemplo de get-landing-zone-operation siguiente, se obtienen detalles de una operación de zona de aterrizaje de AWS Control Tower.


aws controltower get-landing-zone-operation \
    --operation-identifier ee9d0d2d-6532-42d8-9b85-3fbb0700a606

Salida:


{
    "operationDetails": {
        "operationIdentifier": "ee9d0d2d-6532-42d8-9b85-3fbb0700xxxx",
        "operationType": "RESET",
        "startTime": "2025-04-17T03:19:33+00:00",
        "status": "IN_PROGRESS"
    }
}

Para obtener más información, consulte Introducción a AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte GetLandingZoneOperation en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar get-landing-zone.

AWS CLI

Descripción de una zona de aterrizaje de Control Tower

En el ejemplo de get-landing-zone siguiente, se obtienen detalles de una zona de aterrizaje de AWS Control Tower.


aws controltower get-landing-zone \
    --landing-zone-identifier arn:aws:controltower:us-east-1:123456789012:landingzone/13CJG46WZKXXX4X5

Salida:


{
    "landingZone": {
        "arn": "arn:aws:controltower:us-east-1:123456789012:landingzone/13CJG46WZKXXX4X5",
        "driftStatus": {
            "status": "IN_SYNC"
        },
        "latestAvailableVersion": "3.3",
        "manifest": {
            "accessManagement": {
                "enabled": true
            },
            "securityRoles": {
                "accountId": "098765432101"
            },
            "governedRegions": [
                "us-east-1",
                "us-west-2"
            ],
            "organizationStructure": {
                "security": {
                    "name": "Security"
                }
            },
            "centralizedLogging": {
                "accountId": "111122223333",
                "configurations": {
                    "loggingBucket": {
                        "retentionDays": 365
                    },
                    "kmsKeyArn": "arn:aws:kms:us-east-1:123456789012:key/example-key-id",
                    "accessLoggingBucket": {
                        "retentionDays": 3650
                    }
                },
                "enabled": true
            }
        },
        "status": "ACTIVE",
        "version": "3.3"
    }
}

Para obtener más información, consulte Introducción a AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte GetLandingZone en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar list-baselines.

AWS CLI

Muestra de las referencias de Control Tower

En el ejemplo de list-baselines siguiente, se muestran todas las referencias disponibles de AWS Control Tower.


aws controltower list-baselines

Salida:


{
    "baselines": [
        {
            "arn": "arn:aws:controltower:us-east-1::baseline/4T4HA1KMO10S6311",
            "description": "Sets up resources to monitor security and compliance of accounts in your organization.",
            "name": "AuditBaseline"
        },
        {
            "arn": "arn:aws:controltower:us-east-1::baseline/J8HX46AHS5MIKQPD",
            "description": "Sets up a central repository for logs of API activities and resource configurations from accounts in your organization.",
            "name": "LogArchiveBaseline"
        },
        {
            "arn": "arn:aws:controltower:us-east-1::baseline/LN25R72TTG6IGPTQ",
            "description": "Sets up shared resources for AWS Identity Center, which prepares the AWSControlTowerBaseline to set up Identity Center access for accounts.",
            "name": "IdentityCenterBaseline"
        },
        {
            "arn": "arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2",
            "description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance.",
            "name": "AWSControlTowerBaseline"
        },
        {
            "arn": "arn:aws:controltower:us-east-1::baseline/3WPD0NA6TJ9AOMU2",
            "description": "Sets up a central AWS Backup vault in your organization.",
            "name": "BackupCentralVaultBaseline"
        },
        {
            "arn": "arn:aws:controltower:us-east-1::baseline/H6C5JFCJJ3CPU3J5",
            "description": "Sets up AWS Backup Audit Manager.",
            "name": "BackupAdminBaseline"
        },
        {
            "arn": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
            "description": "Sets up a local AWS Backup vault and attaches multiple AWS Backup plans.",
            "name": "BackupBaseline"
        }
    ]
}

Para obtener más información, consulte Tipos de referencia en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte ListBaselines en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar list-control-operations.

AWS CLI

Muestra de las operaciones de control de Control Tower

En el ejemplo de list-control-operations siguiente, se muestran los detalles de los controles de AWS Control Tower que están en curso o en cola.


aws controltower list-control-operations

Salida:


{
    "controlOperations": [
        {
            "startTime": "2024-02-19T19:22:08+00:00",
            "operationType": "ENABLE_CONTROL",
            "status": "IN_PROGRESS",
            "statusMessage": "Operation is in progress.",
            "operationIdentifier": "f9f43b45-db27-44df-89d8-f9129e3632XX",
            "controlIdentifier": "arn:aws:controltower:us-east-1::control/SKIBWKYUQAAC",
            "targetIdentifier": "arn:aws:organizations::123456789012:ou/o-yy67i3pfv2/ou-slt4-8abknXXX",
            "enabledControlIdentifier": "arn:aws:controltower:us-east-1:123456789012:enabledcontrol/RWZFSHV2BBRU6JSE"
        },
        {
            "startTime": "2024-02-19T19:21:09+00:00",
            "operationType": "ENABLE_CONTROL",
            "status": "IN_PROGRESS",
            "statusMessage": "Operation is in progress",
            "operationIdentifier": "171ee0b1-e926-486e-9775-005bd244ccXX",
            "controlIdentifier": "arn:aws:controltower:us-east-1::control/PDKYAANJEWJE",
            "targetIdentifier": "arn:aws:organizations::123456789012:ou/o-yy67i3pfv2/ou-slt4-fl6miXXX",
            "enabledControlIdentifier": "arn:aws:controltower:us-east-2:123456789012:enabledcontrol/XCNJARWZFSHV6JSE"
        }
    ]
}

Para obtener más información, consulte Acerca de los controles en AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte ListControlOperations en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar list-enabled-baselines.

AWS CLI

Muestra de referencias habilitadas de Control Tower

En el ejemplo de list-enabled-baselines siguiente, se muestran todas las referencias habilitadas de AWS Control Tower.


aws controltower list-enabled-baselines

Salida:


{
    "enabledBaselines": [
        {
            "arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJNZNCBC1I386C7B",
            "baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/LN25R72TTG6IGPTQ",
            "statusSummary": {
                "status": "SUCCEEDED"
            },
            "targetIdentifier": "arn:aws:organizations::123456789012:account/o-3onqfuxxxx/123456789012"
        },
        {
            "arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAH3ZJL9DWA386CA5",
            "baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/4T4HA1KMO10S6311",
            "statusSummary": {
                "status": "SUCCEEDED"
            },
            "targetIdentifier": "arn:aws:organizations::123456789012:account/o-3onqfuxxxx/012345098765"
        },
        {
            "arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XALFJ9548TL386CBT",
            "baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/J8HX46AHS5MIKQPD",
            "statusSummary": {
                "status": "SUCCEEDED"
            },
            "targetIdentifier": "arn:aws:organizations::123456789012:account/o-3onqfuxxxx/098765432109"
        }
    ]
}

Para obtener más información, consulte Tipos de referencia en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte ListEnabledBaselines en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar list-enabled-controls.

AWS CLI

Muestra de controles habilitados de Control Tower

En el ejemplo de list-enabled-controls siguiente, se obtienen detalles de controles habilitados de AWS Control Tower.


aws controltower list-enabled-controls \
    --target-identifier arn:aws:organizations::123456789012:ou/o-s64ryxxxxx/ou-oqxx-i5wnxxxx

Salida:


{
    "enabledControls": [
        {
            "arn": "arn:aws:controltower:us-east-1:123456789012:enabledcontrol/26RGJRSLXCP1KW8D",
            "controlIdentifier": "arn:aws:controltower:us-east-1::control/AWS-GR_CLOUDTRAIL_CHANGE_PROHIBITED",
            "driftStatusSummary": {
                "driftStatus": "NOT_CHECKING"
            },
            "statusSummary": {
                "status": "SUCCEEDED"
            },
            "targetIdentifier": "arn:aws:organizations::123456789012:ou/o-s64ryxxxxx/ou-oqxx-i5wnxxxx"
        },
        {
            "arn": "arn:aws:controltower:us-east-1:123456789012:enabledcontrol/18AY24CWKM6IVSLU",
            "controlIdentifier": "arn:aws:controltower:us-east-1::control/AWS-GR_CLOUDTRAIL_CLOUDWATCH_LOGS_ENABLED",
            "driftStatusSummary": {
                "driftStatus": "NOT_CHECKING"
            },
            "statusSummary": {
                "status": "SUCCEEDED"
            },
            "targetIdentifier": "arn:aws:organizations::123456789012:ou/o-s64ryxxxxx/ou-oqxx-i5wnxxxx"
        }
    ]
}

Para obtener más información, consulte Acerca de los controles en AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte ListEnabledControls en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar list-landing-zone-operations.

AWS CLI

Muestra de operaciones de la zona de aterrizaje de Control Tower

En el ejemplo de list-landing-zone-operations siguiente, se muestran operaciones de una zona de aterrizaje de AWS Control Tower.


aws controltower list-landing-zone-operations

Salida:


{
    "landingZoneOperations": [
        {
            "operationIdentifier": "202ee056-5147-49fd-a7ad-8161e3bf043a",
            "operationType": "RESET",
            "status": "SUCCEEDED"
        },
        {
            "operationIdentifier": "dbd4a4b1-baf9-48cc-bd71-6b923d0f2339",
            "operationType": "RESET",
            "status": "SUCCEEDED"
        },
        {
            "operationIdentifier": "e6261ab8-3247-4052-af31-1afe7bb0593e",
            "operationType": "UPDATE",
            "status": "SUCCEEDED"
        },
        {
            "operationIdentifier": "507c6c87-89a8-435f-8697-b257a800f129",
            "operationType": "UPDATE",
            "status": "SUCCEEDED"
        }
    ]
}

Para obtener más información, consulte Introducción a AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte ListLandingZoneOperations en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar list-landing-zones.

AWS CLI

Muestra de un identificador de zona de aterrizaje de Control Tower

En el ejemplo de list-landing-zones siguiente, se crea un identifier de zona de aterrizaje de Control Tower.


aws controltower list-landing-zones

Salida:


{
    "landingZones": [
        {
            "arn": "arn:aws:controltower:us-east-1:123456789012:landingzone/13CJG46WZKXXX4X5"
        }
    ]
}

Para obtener más información, consulte Introducción a AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte ListLandingZones en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar list-tags-for-resource.

AWS CLI

Muestra de etiquetas de controles habilitados de Control Tower

En el ejemplo de list-tags-for-resource siguiente, se muestran las etiquetas de los controles habilitados de AWS Control Tower.


aws controltower list-tags-for-resource \
    --resource-arn "arn:aws:controltower:us-east-1:123456789012:enabledcontrol/2H2AWUG4SKG81855"

Salida:


{
    "tags": {
        "TestTagKey": "TestTagValue"
    }
}

Para obtener más información, consulte Acerca de los controles en AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para ver los detalles de la API, consulte ListTagsForResource en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar reset-enabled-baseline.

AWS CLI

Restablecimiento de una referencia habilitada de Control Tower

En el ejemplo de reset-enabled-baseline siguiente, se restablece una referencia habilitada de AWS Control Tower.


aws controltower reset-enabled-baseline \
    --enabled-baseline-identifier arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XOM12BEL4YD578CQ2

Salida:


{
    "operationIdentifier": "214cde95-5c39-46b9-b429-4fad550a7096"
}

Para obtener más información, consulte Tipos de referencia en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte ResetEnabledBaseline en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar reset-enabled-control.

AWS CLI

Restablecimiento de un control habilitado de Control Tower

En el ejemplo de reset-enabled-control siguiente, se restablece un control habilitado de AWS Control Tower.


aws controltower reset-enabled-control \
    --enabled-control-identifier arn:aws:controltower:us-east-1:123456789012:enabledcontrol/2H2AWUG4SKG81855

Salida:


{
    "operationIdentifier": "8276XXXX-b4XX-4eXX-96XX-881d2a4XXXXX"
}

Para obtener más información, consulte Acerca de los controles en AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte ResetEnabledControl en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar reset-landing-zone.

AWS CLI

Restablecimiento de una zona de aterrizaje de Control Tower

En el ejemplo de reset-landing-zone siguiente, se restablece una zona de aterrizaje de AWS Control Tower.


aws controltower reset-landing-zone \
    --landing-zone-identifier arn:aws:controltower:us-east-1:123456789012:landingzone/13CJG46WZKXXX4X5

Salida:


{
    "operationIdentifier": "73XXXXXX-b2XX-77XX-c6XX-374XXXXXXXXX"
}

Para obtener más información, consulte Introducción a AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte ResetLandingZone en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar tag-resource.

AWS CLI

Etiquetado de un control habilitado de Control Tower

En el ejemplo de tag-resource siguiente, se etiqueta un control habilitado de AWS Control Tower.


aws controltower tag-resource \
    --resource-arn "arn:aws:controltower:us-east-1:123456789012:enabledcontrol/2H2AWUG4SKG81855" \
    --tags "TestTagKey=TestTagValue"

Este comando no genera ninguna salida.

Para obtener más información, consulte Acerca de los controles en AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para ver los detalles de la API, consulte TagResource en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar untag-resource.

AWS CLI

Desetiquetado de un control habilitado de Control Tower

En el ejemplo de untag-resource siguiente, se desetiqueta un control habilitado de AWS Control Tower.


aws controltower untag-resource \
    --resource-arn "arn:aws:controltower:us-east-1:123456789012:enabledcontrol/2H2AWUG4SKG81855" \
    --tag-keys "TestTagKey"

Este comando no genera ninguna salida.

Para obtener más información, consulte Acerca de los controles en AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para ver los detalles de la API, consulte UntagResource en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar update-enabled-baseline.

AWS CLI

Ejemplo 1: actualización de una referencia de Control Tower desactivada

En el ejemplo de update-enabled-baseline siguiente, se actualiza una referencia habilitada de AWS Control Tower si la referencia “IdentityCenterBaseline” está desactivada.


aws controltower update-enabled-baseline \
    --baseline-version 4.0 \
    --enabled-baseline-identifier arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XOM12BEL4YD578CQ2

Salida:


{
    "operationIdentifier": "214cde95-5c39-46b9-b429-4fad550a7096"
}

Ejemplo 2: actualización de una referencia de Control Tower habilitada

En el ejemplo de update-enabled-baseline siguiente, se actualiza una referencia habilitada de AWS Control Tower si la referencia “IdentityCenterBaseline” está habilitada.


aws controltower update-enabled-baseline \
    --baseline-version 4.0 \
    --enabled-baseline-identifier arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XOM12BEL4YD578CQ2 \
    --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJNZNCBC1I386C7B"}]'

Salida:


{
    "operationIdentifier": "b0f4a7c2-334d-48d9-971e-47fea9db3e8b"
}

Para obtener más información, consulte Tipos de referencia en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte UpdateEnabledBaseline en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar update-enabled-control.

AWS CLI

Actualización de un control habilitado de Control Tower

En el ejemplo de update-enabled-control siguiente, se actualiza un control habilitado de AWS Control Tower.


aws controltower update-enabled-control \
    --enabled-control-identifier arn:aws:controltower:us-east-1:123456789012:enabledcontrol/JSJN8UL0G2MWGRTZ \
    --parameters '[{"key":"AllowedRegions","value":["us-east-1","us-west-1","us-west-2","us-east-2"]}]'

Salida:


{
    "operationIdentifier": "b8f0dxxx-08xx-43xx-a2xx-568e9922xxxx"
}

Para obtener más información, consulte Acerca de los controles en AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte UpdateEnabledControl en la Referencia de comandos de la AWS CLI.

En el siguiente ejemplo de código, se muestra cómo utilizar update-landing-zone.

AWS CLI

Actualización de una zona de aterrizaje de Control Tower

En el ejemplo de update-landing-zone siguiente, se actualiza una zona de aterrizaje de AWS Control Tower.


aws controltower update-landing-zone \
    --landing-zone-identifier arn:aws:controltower:us-east-1:123456789012:landingzone/13CJG46WZKXXX4X5 \
    --landing-zone-version 3.3 \
    --manifest "file://UpdateLandingZoneManifest.json"

Salida:


{
    "operationIdentifier": "53XXXXXX-b2XX-97XX-c6XX-474XXXXXXXXX"
}

Para obtener más información, consulte Introducción a AWS Control Tower en la Guía del usuario de AWS Control Tower.

Para obtener detalles de la API, consulte UpdateLandingZone en la Referencia de comandos de la AWS CLI.

Convenciones del documento

Cliente de Connect

AWS Cost and Usage Report