Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Abweichungen im AWS Control Tower erkennen und beheben
Die Identifizierung und Behebung von Abweichungen ist eine reguläre Betriebsaufgabe für Administratoren von AWS Control Tower Tower-Managementkonten. Die Behebung von Abweichungen trägt dazu bei, dass Sie die Governance-Anforderungen einhalten.
Wenn Sie Ihre landing zone erstellen, entsprechen die landing zone und alle Organisationseinheiten (OUs), Konten und Ressourcen den Governance-Regeln, die durch die von Ihnen ausgewählten Kontrollen durchgesetzt werden. Wenn Sie und Ihre Organisationsmitglieder die landing zone nutzen, kann es zu Änderungen dieses Compliance-Status kommen. Einige Änderungen können versehentlich oder absichtlich vorgenommen werden, um auf zeitkritische Betriebsereignisse zu reagieren.
Sie können mithilfe der Abweichungserkennung feststellen, für welche Ressourcen Änderungen oder Konfigurationsaktualisierungen erforderlich sind.
## Drift erkennen
AWS Control Tower erkennt Drift automatisch. Um Abweichungen zu erkennen, benötigt die `AWSControlTowerAdmin` Rolle dauerhaften Zugriff auf Ihr Verwaltungskonto, sodass AWS Control Tower schreibgeschützte API-Aufrufe an ausführen kann. AWS Organizations Diese API-Aufrufe werden als AWS CloudTrail Ereignisse angezeigt.
Abweichungen für ein Mitgliedskonto werden in den Amazon Simple Notification Service (Amazon SNS) -Benachrichtigungen angezeigt, die im Auditkonto zusammengefasst sind. Benachrichtigungen in jedem Mitgliedskonto senden Benachrichtigungen an ein lokales Amazon SNS SNS-Thema und an eine Lambda-Funktion.
**Anmerkung**
Wenn die automatische Registrierung für Konten in den **Einstellungen** aktiviert ist, sind diese SNS-Benachrichtigungen nicht verfügbar.
Bei Kontrollen, die Teil des AWS Security Hub CSPM **Service-Managed Standard: AWS Control Tower** sind, wird Drift auf den Seiten **Konto** und **Kontodetails** in der AWS Control Tower Tower-Konsole sowie in Form einer Amazon SNS SNS-Benachrichtigung angezeigt.
Administratoren von Mitgliedskonten können (und sollten als bewährte Methode) die SNS-Abweichungsbenachrichtigungen für bestimmte Konten abonnieren. Das `aws-controltower-AggregateSecurityNotifications` SNS-Thema bietet beispielsweise Drift-Benachrichtigungen. Die AWS Control Tower Tower-Konsole zeigt den Administratoren des Verwaltungskontos an, wenn eine Abweichung aufgetreten ist. Weitere Informationen zu SNS-Themen zur Erkennung und Benachrichtigung von Abweichungen finden Sie unter [Drift-Prävention und Benachrichtigung](https://docs.aws.amazon.com//controltower/latest/userguide/prevention-and-notification.html).
**Deduplizierung von Drift-Benachrichtigungen**
Wenn dieselbe Art von Drift mehrmals auf derselben Gruppe von Ressourcen auftritt, sendet AWS Control Tower eine SNS-Benachrichtigung nur für die erste Drift-Instanz. Wenn AWS Control Tower feststellt, dass dieser Drift behoben wurde, sendet er nur dann eine weitere Benachrichtigung, wenn die Drift für diese identischen Ressourcen erneut auftritt.
**Beispiel: SCP-Drift wird auf folgende Weise behandelt**
+ Wenn Sie dasselbe verwaltete SCP mehrmals ändern, erhalten Sie eine Benachrichtigung, wenn Sie es zum ersten Mal ändern.
+ Wenn Sie ein verwaltetes SCP ändern, dann Abweichungen beheben und es dann erneut ändern, erhalten Sie zwei Benachrichtigungen.
**Arten von Kontoverschiebungen**
+ Das Konto wurde zwischen OUs (siehe *[Vererbungsabweichung bei aktivierten Baselines](governance-drift.md#drift-enabled-baseline)*und[Vererbungsabweichung bei aktivierten Steuerelementen](governance-drift.md#drift-enabled-controls)) verschoben
+ Konto wurde aus der Organisation entfernt
**Anmerkung**
Wenn Sie ein Konto von einer Organisationseinheit in eine andere verschieben, werden die Steuerelemente der vorherigen Organisationseinheit nicht entfernt. Wenn Sie eine neue Hook-basierte Steuerung auf der Ziel-OU aktivieren, wird die alte Die Hook-basierte Steuerung wird aus dem Konto entfernt und durch die neue Steuerung ersetzt. Mit implementierte Kontrollen SCPs und AWS Config Regeln müssen immer manuell entfernt werden, wenn sich ein Konto ändert OUs.
**Beispiele für politische Abweichungen**
+ SCP wurde aktualisiert
+ SCP wurde von OU getrennt
Weitere Informationen finden Sie unter [Arten von Abweichungen in der Unternehmensführung.](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html)
# Abweichung in der Sichtweise
*Sie können den Drift-Status für Ihre Konten und OUs über die Konsole einsehen oder feststellen APIs, wann Konto- und OU-Konfigurationen verändert oder nicht mehr synchron sind.* Der Drift-Status wird auch mit SNS-Nachrichten übermittelt. Weitere Informationen zum Empfang dieser SNS-Nachrichten finden Sie unter [Anleitung zum Abonnieren](https://docs.aws.amazon.com//controltower/latest/userguide/sns-guidance.html) von SNS-Themen.
Rufen Sie die **Organisationsseite** auf und wählen Sie dann die Konten aus, die Sie überprüfen möchten, um den Status der OU und des OUs Accounts in der Konsole einzusehen.
Rufen Sie die [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html)API auf, um OUs den Status Ihrer aktivierten Baselines einzusehen, um den Status Ihrer Konten programmgesteuert einzusehen. Verwenden Sie das Flag, um den Status einzelner Konten programmgesteuert mit der API anzuzeigen. `ListEnabledBaselines` `includeChildren` Sie können nach diesen Status filtern und nur die Konten sehen, die Ihre Aufmerksamkeit erfordern OUs .
**Anmerkung**
AWS Control Tower generiert ein [Lebenszyklusereignis](https://docs.aws.amazon.com//controltower/latest/userguide/lifecycle-events.html), wenn jeder Drift-Korrekturvorgang abgeschlossen ist.
# Behebung von Abweichungen
Die Erkennung erfolgt zwar automatisch, die Schritte zur Behebung der Abweichung müssen jedoch manuell über die Konsole oder mit dem APIs ausgeführt werden. (Außer in bestimmten Fällen, in denen die automatische Registrierung für Konten aktiviert ist, die verschoben wurden.)
Sie können beispielsweise Abweichungen von Richtlinien für Steuerelemente programmgesteuert beheben, indem Sie die API aufrufen. [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)
Um Abweichungen bei den *Konfigurationsbasislinien* für eine OU zu beheben, können Sie in der Konsole **OU neu registrieren** wählen. Wenn die Abweichung auf ein einzelnes Konto zurückzuführen ist, können Sie in der Konsole die Option **Konto aktualisieren** auswählen. Um die Basisabweichung mit dem zu beheben APIs, können Sie die [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html)API auf der Organisationseinheit aufrufen.
**Zusammenfassung**
+ Viele Arten von Abweichungen können auf der Seite mit den **Einstellungen für die Landingzone** behoben werden. Sie können im Abschnitt **Versionen** auf die Schaltfläche „**Zurücksetzen**“ klicken, um diese Arten von Abweichungen zu beheben.
+ Wenn Ihre OU weniger als 1000 Konten hat, können Sie Drift in Account Factory Provisioned Accounts (SCP-Drift) beheben, indem **Sie auf der Seite **Organisation** oder der Seite mit den OU-Details die Option **OU** erneut registrieren** auswählen.
+ Möglicherweise können Sie Kontoabweichungen beheben, indem Sie [Mitgliedskonto wurde verschoben](governance-drift.md#drift-account-moved) beispielsweise ein einzelnes Konto aktualisieren. Weitere Informationen finden Sie unter [Aktualisieren Sie das Konto in der Konsole](updating-account-factory-accounts.md#update-account-in-console).
+ Bei Steuerungen können viele Arten von Abweichungen durch einen Aufruf der [`ResetEnabledControl`API behoben werden.](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)
+ Basisabweichungen OUs und Konten können behoben werden, indem Sie die [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html)API aufrufen oder indem Sie in der AWS Control Tower Tower-Konsole **OU erneut registrieren** oder **Konto aktualisieren** wählen.
+ Um *Vererbungsabweichungen* zu beheben, die beim Verschieben von Konten zwischen Konten auftreten OUs, können Sie die Funktion zur automatischen Registrierung aktivieren. Wenn die automatische Registrierung aktiviert ist, behebt AWS Control Tower automatisch Vererbungsabweichungen, indem die Basisressourcen und Kontrollkonfigurationen von der Ziel-OU auf das verschobene Konto angewendet werden. **Sie können die automatische Registrierung auf der Seite mit den **Landingzone-Einstellungen** in der Konsole aktivieren oder indem Sie die [https://docs.aws.amazon.com//controltower/latest/APIReference/API_UpdateLandingZone.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_UpdateLandingZone.html)API aufrufen, wobei der `RemediationType` Parameter auf Inheritance Drift gesetzt ist.** Weitere Informationen finden Sie unter [Konten mit automatischer Registrierung verschieben und registrieren](account-auto-enrollment.md).
**Wenn Sie Maßnahmen ergreifen, um Drift in einer Landezone-Version zu beheben, sind zwei Verhaltensweisen möglich.**
**Wenn Sie die neueste Landing Zone-Version verwenden, werden Ihre Drifted landing zone Zone-Ressourcen auf die gespeicherte AWS Control Tower Tower-Konfiguration zurückgesetzt, wenn Sie Zurücksetzen und dann **Bestätigen** wählen.** Die Landezone-Version bleibt gleich.
Wenn Sie nicht die neueste Version verwenden, müssen Sie **Update** wählen. Die landing zone wurde auf die neueste Landezonenversion aktualisiert. Die Drift wird im Rahmen dieses Prozesses behoben.
## Überlegungen zu Drift- und Policy-Scans
AWS Control Tower scannt täglich Ihre verwalteten und deklarativen Richtlinien SCPs RCPs, um sicherzustellen, dass die entsprechenden Kontrollen korrekt angewendet werden und dass sie nicht verändert wurden. Um diese Ressourcen abzurufen und zu überprüfen, ruft AWS Control Tower in Ihrem Namen AWS Organizations an und verwendet dabei eine Rolle in Ihrem Verwaltungskonto.
Wenn bei einem AWS Control Tower Tower-Scan Abweichungen festgestellt werden, erhalten Sie eine Benachrichtigung. AWS Control Tower sendet nur eine Benachrichtigung pro Drift-Problem. Wenn sich Ihre landing zone also bereits im Drift-Zustand befindet, erhalten Sie keine weiteren Benachrichtigungen, es sei denn, es wird ein neuer Drift-Artikel gefunden.
AWS Organizations schränkt ein, wie oft jede einzelne davon aufgerufen werden APIs kann. *Dieses Limit wird in Transaktionen pro Sekunde (TPS) ausgedrückt und wird als *TPS-Limit*, *Drosselungsrate oder API-Anforderungsrate* bezeichnet.* Wenn AWS Control Tower Ihre SCPs RCPs, und Declarative Policies durch Aufrufen prüft AWS Organizations, werden die API-Aufrufe, die AWS Control Tower durchführt, auf Ihr TPS-Limit angerechnet, da AWS Control Tower das Verwaltungskonto für die Aufrufe verwendet.
In seltenen Fällen kann dieses Limit erreicht werden, wenn Sie dasselbe APIs wiederholt aufrufen, sei es über eine Drittanbieterlösung oder ein von Ihnen geschriebenes benutzerdefiniertes Skript. Wenn Sie und AWS Control Tower beispielsweise dasselbe zum gleichen AWS Organizations APIs Zeitpunkt (innerhalb von 1 Sekunde) aufrufen und die TPS-Grenzwerte erreicht sind, werden nachfolgende Anrufe gedrosselt. Das heißt, diese Aufrufe geben einen Fehler zurück wie. `Rate exceeded`
**Wenn eine API-Anforderungsrate überschritten wird**
+ Wenn AWS Control Tower das Limit erreicht und gedrosselt wird, unterbrechen wir die Ausführung des Audits und setzen es zu einem späteren Zeitpunkt fort.
+ Wenn Ihr Workload das Limit erreicht und gedrosselt wird, kann das Ergebnis, je nachdem, wie der Workload konfiguriert ist, von einer leichten Latenz bis hin zu einem schwerwiegenden Fehler in der Arbeitslast reichen. Dieser Grenzfall ist etwas, das Sie beachten sollten.
**Ein täglicher SCP-Scan besteht aus**
1. Ihre kürzlich aktiven Daten werden abgerufen. OUs
1. Für jede registrierte Organisationseinheit werden alle von AWS Control Tower SCPs verwalteten Organisationseinheiten abgerufen, die an die Organisationseinheit angehängt sind. Verwaltete SCPs haben Kennungen, die mit beginnen. `aws-guardrails`
1. Überprüfen Sie für jede präventive Kontrolle, die auf der Organisationseinheit aktiviert ist, ob die Richtlinienerklärung der Kontrolle in den verwalteten Organisationseinheiten enthalten ist. SCPs
Eine Organisationseinheit kann über eine oder mehrere verwaltete SCPs Organisationseinheiten verfügen.
## Arten von Abweichungen, die sofort behoben werden müssen
Die meisten Arten von Abweichungen können von Administratoren behoben werden. Einige Arten von Abweichungen müssen sofort behoben werden, einschließlich der Löschung einer Organisationseinheit, die für die AWS Control Tower Tower-Landezone erforderlich ist. Hier sind einige Beispiele für größere Abweichungen, die Sie vielleicht vermeiden möchten:
+ *Löschen Sie die Sicherheits-OU nicht:* Die Organisationseinheit, die ursprünglich bei der Einrichtung der landing zone durch AWS Control Tower **Security** benannt wurde, sollte nicht gelöscht werden. Wenn du es löschst, wird eine Fehlermeldung angezeigt, in der du aufgefordert wirst, die landing zone sofort zurückzusetzen. Sie können in AWS Control Tower keine weiteren Aktionen ausführen, bis der Reset abgeschlossen ist.
+ *Löschen Sie keine erforderlichen Rollen:* AWS Control Tower überprüft bestimmte AWS Identity and Access Management (IAM-) Rollen, wenn Sie sich bei der Konsole anmelden, auf *IAM-Rollendrift*. Wenn diese Rollen fehlen oder nicht zugänglich sind, wird eine Fehlerseite angezeigt, auf der Sie aufgefordert werden, Ihre landing zone zurückzusetzen. Diese Rollen sind. `AWSControlTowerAdmin` `AWSControlTowerCloudTrailRole` `AWSControlTowerStackSetRole`
Weitere Informationen zu diesen Rollen finden Sie unter [Für die Verwendung der AWS Control Tower Tower-Konsole sind Berechtigungen erforderlich](additional-console-required-permissions.md).
+ *Löschen Sie nicht alle zusätzlichen OUs Organisationseinheiten:* Für den Betrieb von AWS Control Tower ist mindestens eine zusätzliche Organisationseinheit erforderlich, es muss sich jedoch nicht um die **Sandbox-Organisationseinheit** handeln.
+ *Nicht gemeinsam genutzte Konten entfernen:* Wenn Sie gemeinsam genutzte Konten OUs mit der AWS Organizations Konsole aus Foundation entfernen oder APIs, z. B. wenn Sie das Logging-Konto aus der Security OU entfernen. Das Verschieben dieser Konten führt zu einer Art Fehlverhalten beim **Verschieben von Konten**, das behoben werden muss. Um diese Art von Drift zu beheben, müssen Sie die landing zone aktualisieren.
**Anmerkung**
Es hat sich bewährt, diese gemeinsam genutzten Konten nicht aus der Foundational OU zu verschieben.
## Reparierbare Änderungen an Ressourcen
Im Folgenden finden Sie eine Liste der Änderungen an den AWS Control Tower Tower-Ressourcen, die zulässig sind, obwohl sie zu *behebbaren Abweichungen führen.* Die Ergebnisse dieser erlaubten Operationen können in der AWS Control Tower Tower-Konsole eingesehen werden, obwohl möglicherweise eine Aktualisierung erforderlich ist.
Weitere Informationen zur Behebung der daraus resultierenden Abweichung finden Sie unter [Ressourcen außerhalb von AWS Control Tower verwalten](https://docs.aws.amazon.com//controltower/latest/userguide/external-resources.html).
**Änderungen, die außerhalb der AWS Control Tower Tower-Konsole zulässig sind**
+ Ändern Sie den Namen einer registrierten Organisationseinheit.
+ Ändern Sie den Namen der Sicherheits-OU.
+ Ändern Sie den Namen der Mitgliedskonten in Non-Foundational OUs.
+ Ändern Sie den Namen der gemeinsam genutzten AWS Control Tower Tower-Konten in der Sicherheits-OU.
+ Löschen Sie eine Organisationseinheit, die nicht zu den Grundlagen gehört.
+ Löscht ein registriertes Konto aus einer Organisationseinheit, die nicht zu den Grundlagen gehört.
+ Ändern Sie die E-Mail-Adresse eines gemeinsam genutzten Kontos in der Security OU.
+ Ändern Sie die E-Mail-Adresse eines Mitgliedskontos in einer registrierten Organisationseinheit.
**Anmerkung**
Das Verschieben von Konten zwischen Konten OUs gilt als Drift und muss gelöst werden.
## Drift und Bereitstellung neuer Konten
Wenn sich Ihre landing zone im Drift-Zustand befindet, funktioniert die Funktion „**Konto registrieren**“ in AWS Control Tower nicht. In diesem Fall müssen Sie neue Konten über AWS Service Catalog einrichten. Detaillierte Anweisungen finden Sie unter [Stellen Sie Konten in der Service Catalog-Konsole mit Account Factory bereit](provision-as-end-user.md).
Insbesondere wenn Sie mithilfe des Service Catalog bestimmte Änderungen an Ihren Konten vorgenommen haben, z. B. den Namen Ihres Portfolios geändert haben, funktioniert die Funktion **Konto registrieren** nicht.
# Arten von Abweichungen in der Unternehmensführung
Abweichungen in der Unternehmensführung, auch als *organisatorische Drift* bezeichnet OUs, treten auf SCPs, wenn, und Mitgliedskonten geändert oder aktualisiert werden. Folgende Arten von Governance-Abweichungen können in AWS Control Tower erkannt werden:
+ Veränderungen bei der Verwaltung von Konten und Organisationseinheiten
+ Drift in die Landezone
+ Kontrolldrift bei Nicht-SCP-Steuerungen
+ Vererbungsabweichung bei Ausgangswerten und Kontrollen
In den nächsten Abschnitten finden Sie detaillierte Informationen zu diesen Arten von Abweichungen, die AWS Control Tower meldet, und zu deren Behebung.
**Anmerkung**
AWS Control Tower beendet das Senden von Drift-Benachrichtigungen an das SNS-Thema für Kunden LZ4 ab einem Wert von 0 und beginnt stattdessen mit dem Senden von Drift-Benachrichtigungen EventBridge an das Verwaltungskonto. **Beispiele für Ereignisse und Anleitungen zum Empfang von Drift-Benachrichtigungen finden EventBridge Sie im nachfolgenden Abschnitt zur Erstellung. EventBridge **
**Änderungen bei der Verwaltung von Konten und Organisationseinheiten**
+ [Mitgliedskonto wurde verschoben](#drift-account-moved)
+ [Mitgliedskonto wurde entfernt](#drift-account-removed)
+ [Ungeplantes Update auf Managed SCP](#drift-scp-update)
+ [SCP wurde von der verwalteten Organisationseinheit getrennt](#drift-scp-detached-ou)
**Drift in die Landezone**
Eine andere Art von Drift ist die *Landezonendrift*, die über das Verwaltungskonto ermittelt werden kann. Ein Drift in der Landezone besteht aus einer Verschiebung der IAM-Rollen oder jeder Art von organisatorischer Drift, die sich speziell auf Foundational Accounts OUs und Shared Accounts auswirkt.
+ [Die grundlegende Organisationseinheit wurde gelöscht](#drift-ou-deleted)
+ [Vertrauenswürdiger Zugriff deaktiviert](#drift-disable-trust)
Ein Sonderfall von Landezonendrift ist die *Rollendrift*, die erkannt wird, wenn eine benötigte Rolle nicht verfügbar ist. Wenn diese Art von Abweichung auftritt, zeigt die Konsole eine Warnseite und einige Anweisungen zur Wiederherstellung der Rolle an. Ihre landing zone ist nicht verfügbar, bis der Rollenwechsel behoben ist. Weitere Informationen zur Rollenverschiebung finden Sie im Abschnitt *Erforderliche Rollen nicht löschen*[Arten von Abweichungen, die sofort behoben werden müssen](drift.md#types-of-drift).
**Kontrollabweichung bei Nicht-SCP-Kontrollen**
AWS Control Tower meldet *Kontrollabweichungen* in Bezug auf Kontrollen, die mit Ressourcenkontrollrichtlinien (RCPs), deklarativen Richtlinien und Kontrollen implementiert wurden, die Teil des **AWS Security Hub CSPM Service-Managed Standard sind: AWS Control** Tower.
+ [Änderung der CSPM-Steuerung im Security Hub](#sh-control-drift)
+ [Beherrschen Sie Richtlinienabweichungen](#control-policy-drift)
**Abweichungen bei der Vererbung von Referenzwerten und Kontrollen**
+ **Basisabweichung aktiviert**
Wenn sich die Basiskonfigurationen auf einem Mitgliedskonto von denen unterscheiden, die auf die übergeordnete Organisationseinheit angewendet wurden, meldet AWS Control Tower Vererbungsabweichungen für aktivierte Baselines (Ressourcenkonfigurationen) auf diesen OUs und Konten. [Weitere Informationen zu Baselines finden Sie unter Typen von Baselines.](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html)
+ [Vererbungsabweichung bei aktivierten Baselines](#drift-enabled-baseline)
+ **Control Drift aktiviert**
Wenn sich die aktivierten Kontrollkonfigurationen auf einem Mitgliedskonto von denen unterscheiden, die auf die übergeordnete Organisationseinheit angewendet wurden, meldet AWS Control Tower Vererbungsabweichungen für aktivierte Kontrollen für diese OUs und Konten.
+ [Vererbungsabweichung bei aktivierten Steuerelementen](#drift-enabled-controls)
**Abweichung, die nicht gemeldet wird**
AWS Control Tower sucht nicht nach Abweichungen in Bezug auf andere Services, die mit dem Verwaltungskonto funktionieren AWS CloudTrail, einschließlich Amazon CloudWatch, IAM Identity Center CloudFormation AWS Config,, usw.
AWS Control Tower erkennt keine Ressourcendrift oder andere Arten von Drift, die auftreten können, wenn Sie die in einer Baseline enthaltenen Ressourcen ändern.
## Mitgliedskonto wurde verschoben
**Anmerkung**
Für Kunden mit LZ 4.0\$1 sendet AWS Control Tower keine Benachrichtigungen über Kontoverschiebungen für Account Factory Factory-Konten ohne. AWSControl TowerBaseline
Diese Art von Abweichung tritt eher auf dem Konto als auf der Organisationseinheit auf. Diese Art von Abweichung kann auftreten, wenn ein AWS Control Tower Tower-Mitgliedskonto, das Auditkonto oder das Protokollarchiv-Konto von einer registrierten AWS Control Tower Tower-Organisationseinheit in eine andere Organisationseinheit verschoben wird. **In vielen Fällen können Sie diese Art von Abweichung vermeiden, wenn Sie die automatische Registrierung für Konten auf der Seite Einstellungen aktivieren.** Weitere Details finden Sie unter [Konten mit automatischer Registrierung verschieben und registrieren](account-auto-enrollment.md).
Im Folgenden finden Sie ein Beispiel für eine Drift-Benachrichtigung, wenn diese Art von Abweichung erkannt wird.
```
{
"Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
"ManagementAccountId" : "012345678912",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
"RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.",
"AccountId" : "012345678909",
"SourceId" : "012345678909",
"DestinationId" : "ou-3210-1EXAMPLE"
}
```
### Lösungen
Wenn diese Art von Abweichung bei einem von Account Factory bereitgestellten Konto in einer Organisationseinheit mit bis zu 1000 Konten auftritt, können Sie sie wie folgt beheben:
+ Navigieren Sie in der AWS Control Tower Tower-Konsole zur **Organisationsseite**, wählen Sie das Konto aus und wählen Sie oben rechts **Konto aktualisieren** (schnellste Option für einzelne Konten).
+ Navigieren Sie in der AWS Control Tower Tower-Konsole zur **Organisationsseite** und wählen Sie dann **Erneut registrieren** für die Organisationseinheit, die das Konto enthält (schnellste Option für mehrere Konten). Weitere Informationen finden Sie unter [Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower](importing-existing.md).
+ Aktualisierung des bereitgestellten Produkts in Account Factory. Weitere Informationen finden Sie unter [Konten mit AWS Control Tower aktualisieren und verschieben](updating-account-factory-accounts.md).
**Anmerkung**
Wenn Sie mehrere individuelle Konten aktualisieren müssen, finden Sie auch diese Methode zum Durchführen von Aktualisierungen mit einem Skript:[Konten mithilfe von Automatisierung bereitstellen und aktualisieren](update-accounts-by-script.md).
+ Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 1000 Konten auftritt, kann die Auflösung der Abweichung davon abhängen, welcher Kontotyp verschoben wurde, wie in den nächsten Absätzen erläutert. Weitere Informationen finden Sie unter [Aktualisiere deine landing zone](update-controltower.md).
+ **Wenn ein von Account Factory bereitgestelltes Konto verschoben wird** — In einer OU mit weniger als 1000 Konten können Sie die Kontoverschiebung beheben, indem Sie das bereitgestellte Produkt in Account Factory aktualisieren, die OU erneut registrieren oder Ihre landing zone aktualisieren.
In einer Organisationseinheit mit mehr als 1000 Konten *müssen* Sie die Abweichung beheben, indem Sie für jedes verschobene Konto eine Aktualisierung vornehmen, entweder über die AWS Control Tower Tower-Konsole oder das bereitgestellte Produkt, da die Aktualisierung durch die **erneute Registrierung der Organisationseinheit** nicht durchgeführt wird. Weitere Informationen finden Sie unter [Konten mit AWS Control Tower aktualisieren und verschieben](updating-account-factory-accounts.md).
+ **Wenn ein geteiltes Konto verschoben wird** — Sie können die Abweichung vom Verschieben des Audit- oder Protokollarchiv-Kontos beheben, indem Sie Ihre landing zone aktualisieren. Weitere Informationen finden Sie unter [Aktualisiere deine landing zone](update-controltower.md).
**Veralteter Feldname**
Der Feldname `MasterAccountID` wurde geändert, sodass er den Richtlinien `ManagementAccountID` entspricht AWS . Der alte Name ist **veraltet**. Seit 2022 funktionieren Skripten, die den veralteten Feldnamen enthalten, nicht mehr.
## Mitgliedskonto wurde entfernt
Diese Art von Abweichung kann auftreten, wenn ein Mitgliedskonto aus einer registrierten AWS Control Tower Tower-Organisationseinheit entfernt wird. Das folgende Beispiel zeigt die Drift-Benachrichtigung, wenn diese Art von Abweichung erkannt wird.
```
{
"Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'",
"ManagementAccountId" : "012345678912",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION",
"RemediationStep" : "Add account to Organization and update Account Factory provisioned product",
"AccountId" : "012345678909"
}
```
### Auflösung
+ Wenn diese Art von Abweichung in einem Mitgliedskonto auftritt, können Sie die Abweichung beheben, indem Sie das Konto in der AWS Control Tower Tower-Konsole oder in Account Factory aktualisieren. Sie können das Konto beispielsweise über den Account Factory Factory-Update-Assistenten zu einer anderen registrierten Organisationseinheit hinzufügen. Weitere Informationen finden Sie unter [Konten mit AWS Control Tower aktualisieren und verschieben](updating-account-factory-accounts.md).
+ Wenn ein gemeinsam genutzter Account aus einer Foundational OU entfernt wird, müssen Sie die Abweichung beheben, indem Sie Ihre landing zone zurücksetzen. Solange dieser Fehler nicht behoben ist, können Sie die AWS Control Tower Tower-Konsole nicht verwenden.
+ Weitere Informationen zur Behebung von Abweichungen bei Konten und finden Sie OUs unter[Wenn Sie Ressourcen außerhalb von AWS Control Tower verwalten](external-resources.md).
**Anmerkung**
In Service Catalog wird das von Account Factory bereitgestellte Produkt, das das Konto darstellt, nicht aktualisiert, um das Konto zu entfernen. Stattdessen wird das bereitgestellte Produkt als `TAINTED` und in einem Fehlerzustand angezeigt. Gehen Sie zum Aufräumen zum Service Catalog, wählen Sie das bereitgestellte Produkt aus und klicken Sie dann auf **Terminate**.
## Ungeplantes Update auf Managed SCP
Diese Art von Abweichung kann auftreten, wenn ein SCP für ein Steuerelement in der AWS Organizations Konsole oder programmgesteuert mithilfe der AWS CLI oder einer der AWS aktualisiert wird. SDKs Im Folgenden finden Sie ein Beispiel für die Drift-Benachrichtigung, wenn diese Art von Drift erkannt wird.
```
{
"Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'",
"ManagementAccountId" : "012345678912",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SCP_UPDATED",
"RemediationStep" : "Update Control Tower Setup",
"OrganizationalUnitId" : "ou-0123-1EXAMPLE",
"PolicyId" : "p-tEXAMPLE"
}
```
### Auflösung
Wenn diese Abweichung in einer Organisationseinheit mit bis zu 1000 Konten auftritt, können Sie sie wie folgt beheben:
+ Navigieren Sie zur **Organisationsseite** in der AWS Control Tower Tower-Konsole, um die Organisationseinheit erneut zu registrieren (schnellste Option). Weitere Informationen finden Sie unter [Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower](importing-existing.md).
+ Aktualisierung Ihrer landing zone (langsamere Option). Weitere Informationen finden Sie unter [Aktualisiere deine landing zone](update-controltower.md).
Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 1000 Konten auftritt, beheben Sie das Problem, indem Sie Ihre landing zone aktualisieren. Weitere Informationen finden Sie unter [Aktualisiere deine landing zone](update-controltower.md).
## SCP wurde von der verwalteten Organisationseinheit getrennt
Diese Art von Abweichung kann auftreten, wenn ein SCP für eine Steuerung von einer OU getrennt wurde, die von AWS Control Tower verwaltet wird. Dieses Ereignis tritt besonders häufig auf, wenn Sie von außerhalb der AWS Control Tower Tower-Konsole arbeiten. Im Folgenden finden Sie ein Beispiel für eine Drift-Benachrichtigung, wenn diese Art von Drift erkannt wird.
```
{
"Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'",
"ManagementAccountId" : "012345678912",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SCP_DETACHED_FROM_OU",
"RemediationStep" : "Update Control Tower Setup",
"OrganizationalUnitId" : "ou-0123-1EXAMPLE",
"PolicyId" : "p-tEXAMPLE"
}
```
### Auflösung
Wenn diese Abweichung in einer Organisationseinheit mit bis zu 1000 Konten auftritt, können Sie sie wie folgt beheben:
+ Navigieren Sie zur OU in der AWS Control Tower Tower-Konsole, um die OU erneut zu registrieren (schnellste Option). Weitere Informationen finden Sie unter [Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower](importing-existing.md).
+ Aktualisierung Ihrer landing zone (langsamere Option). Wenn sich die Abweichung auf eine obligatorische Kontrolle auswirkt, erstellt der Aktualisierungsprozess eine neue Service Control Policy (SCP) und fügt sie der OU hinzu, um die Abweichung zu beheben. Weitere Informationen zum Aktualisieren Ihrer landing zone finden Sie unter[Aktualisiere deine landing zone](update-controltower.md).
Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 1000 Konten auftritt, beheben Sie das Problem, indem Sie Ihre landing zone aktualisieren. Wenn sich die Abweichung auf eine obligatorische Kontrolle auswirkt, erstellt der Aktualisierungsprozess eine neue Service Control Policy (SCP) und fügt sie der OU hinzu, um die Abweichung zu beheben. Weitere Informationen zum Aktualisieren Ihrer landing zone finden Sie unter[Aktualisiere deine landing zone](update-controltower.md).
## Die grundlegende Organisationseinheit wurde gelöscht
Diese Art von Abweichung gilt nur für AWS Control Tower Foundational OUs, wie z. B. die Security OU. Es kann vorkommen, wenn eine Foundational OU außerhalb der AWS Control Tower Tower-Konsole gelöscht wird. Foundational OUs kann nicht verschoben werden, ohne dass es zu einer solchen Abweichung kommt, da das Verschieben einer Organisationseinheit dasselbe ist wie das Löschen und das anschließende Hinzufügen an einer anderen Stelle. Wenn Sie die Abweichung beheben, indem Sie Ihre landing zone aktualisieren, ersetzt AWS Control Tower die Foundational OU am ursprünglichen Standort. Das folgende Beispiel zeigt eine Drift-Benachrichtigung, die Sie möglicherweise erhalten, wenn diese Art von Drift erkannt wird.
```
{
"Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'",
"ManagementAccountId" : "012345678912",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "ORGANIZATIONAL_UNIT_DELETED",
"RemediationStep" : "Delete organizational unit in Control Tower",
"OrganizationalUnitId" : "ou-0123-1EXAMPLE"
}
```
### Auflösung
Da diese Abweichung OUs nur bei Foundational auftritt, besteht die Lösung darin, die landing zone zu aktualisieren. Wenn andere Typen gelöscht OUs werden, wird AWS Control Tower automatisch aktualisiert.
Weitere Informationen zur Behebung von Abweichungen bei Konten und finden Sie OUs unter[Wenn Sie Ressourcen außerhalb von AWS Control Tower verwalten](external-resources.md).
## Änderung der CSPM-Steuerung im Security Hub
Diese Art von Abweichung tritt auf, wenn eine Steuerung, die Teil des **AWS Security Hub CSPM Service-Managed Standard: AWS Control Tower** ist, einen Drift-Status meldet. Der AWS Security Hub CSPM Service selbst meldet keinen Drift-Status für diese Kontrollen. Stattdessen sendet der Service seine Ergebnisse an AWS Control Tower.
Eine Drift bei der Kontrolle des Security Hub CSPM kann auch festgestellt werden, wenn AWS Control Tower seit mehr als 24 Stunden kein Status-Update von Security Hub CSPM erhalten hat. Wenn diese Ergebnisse nicht wie erwartet eingehen, überprüft AWS Control Tower, ob die Kontrolle nicht stimmt. Das folgende Beispiel zeigt eine Drift-Benachrichtigung, die Sie möglicherweise erhalten, wenn diese Art von Abweichung erkannt wird.
```
{
"Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com . The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard",
"MasterAccountId" : "123456789XXX",
"ManagementAccountId" : "123456789XXX",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SECURITY_HUB_CONTROL_DISABLED",
"RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.",
"AccountId" : "7876543219XXX",
"ControlId" : "SH.XXXXXXX.1",
"ControlName" : "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB",
"EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/".
"Region" : "us-east-1"
}
```
### Auflösung
OUs Bei weniger als 1000 Konten besteht die empfohlene Lösung darin, die **ResetEnabledControl**API für das Drifted Control aufzurufen. In der Konsole können Sie die Option **Erneut registrieren** für die Organisationseinheit auswählen, wodurch die Steuerung auf den ursprünglichen Zustand zurückgesetzt wird. Alternativ können Sie für jede Organisationseinheit die Steuerung über die Konsole oder den AWS Control Tower entfernen und wieder aktivieren APIs, wodurch die Steuerung ebenfalls zurückgesetzt wird.
Weitere Informationen zur Behebung von Abweichungen bei Konten und OUs finden Sie unter. [Wenn Sie Ressourcen außerhalb von AWS Control Tower verwalten](external-resources.md)
## Beherrschen Sie Richtlinienabweichungen
Diese Art von Abweichung tritt auf, wenn eine Kontrolle, die mit *Ressourcenkontrollrichtlinien* (RCPs) oder *deklarativen Richtlinien* implementiert wurde, eine Abweichung meldet. Es gibt einen Status von zurück`CONTROL_INEFFECTIVE`, den Sie in der AWS Control Tower Tower-Konsole und in der Drift-Nachricht sehen können. Die Drift-Nachricht für diese Art von Drift beinhaltet auch die `EnabledControlIdentifier` für die betroffene Kontrolle.
Diese Art von Drift wird für SCP-basierte Kontrollen nicht gemeldet.
Das folgende Beispiel zeigt eine Drift-Benachrichtigung, die Sie möglicherweise erhalten, wenn diese Art von Drift erkannt wird.
```
{
"Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.",
"MasterAccountId": "123456789XXX",
"ManagementAccountId": "123456789XXX",
"OrganizationId": "o-123EXAMPLE",
"DriftType": "CONTROL_INEFFECTIVE",
"RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.",
"TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567",
"ControlId": "CT.XXXXXXX.PV.1",
"ControlName": "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier": "arn:aws:controlcatalog:::control/",
"EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/"
}
```
### Auflösung
Die einfachste Lösung für Abweichungen von Kontrollrichtlinien bei RCP-Kontrollen, deklarativen Richtlinienkontrollen und Security Hub-CSPM-Steuerungen, die in AWS Control Tower aktiviert sind, besteht darin, die API aufzurufen. `ResetEnabledControl`
OUs Bei weniger als 1000 Konten besteht eine weitere Lösung von der Konsole oder API aus darin, die Organisationseinheit **erneut zu registrieren**, wodurch die Steuerung auf den ursprünglichen Zustand zurückgesetzt wird.
Für jede einzelne Organisationseinheit können Sie die Steuerung über die Konsole oder den AWS Control Tower entfernen und wieder aktivieren APIs, wodurch die Steuerung ebenfalls zurückgesetzt wird.
Weitere Informationen zur Behebung von Abweichungen bei Konten und OUs finden Sie unter. [Wenn Sie Ressourcen außerhalb von AWS Control Tower verwalten](external-resources.md)
## Vertrauenswürdiger Zugriff deaktiviert
Diese Art von Drift gilt für Landezonen im AWS Control Tower. Es tritt auf, wenn Sie den vertrauenswürdigen Zugriff auf AWS Control Tower deaktivieren, AWS Organizations nachdem Sie Ihre AWS Control Tower Tower-Landezone eingerichtet haben.
Wenn der vertrauenswürdige Zugriff deaktiviert ist, empfängt AWS Control Tower keine Änderungsereignisse mehr von AWS Organizations. AWS Control Tower ist darauf angewiesen, dass diese Änderungsereignisse synchronisiert bleiben AWS Organizations. Infolgedessen kann es sein, dass AWS Control Tower organisatorische Änderungen an Konten und übersieht OUs. Aus diesem Grund ist es wichtig, dass Sie jedes Mal, wenn Sie Ihre landing zone aktualisieren, jede Organisationseinheit neu registrieren.
**Beispiel: Drift-Benachrichtigung**
Im Folgenden finden Sie ein Beispiel für die Drift-Benachrichtigung, die Sie erhalten, wenn diese Art von Abweichung auftritt.
```
{
"Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled",
"ManagementAccountId" : "012345678912",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "TRUSTED_ACCESS_DISABLED",
"RemediationStep" : "Reset Control Tower landing zone."
}
```
### Auflösung
AWS Control Tower benachrichtigt Sie, wenn diese Art von Abweichung in der AWS Control Tower Tower-Konsole auftritt. Die Lösung besteht darin, Ihre AWS Control Tower Tower-Landezone zurückzusetzen. Weitere Informationen finden Sie unter [Drift beheben](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift).
## Vererbungsabweichung bei aktivierten Baselines
Diese Art von Abweichung kann bei AWS Control Tower OUs und Konten auftreten.
### Auflösung
AWS Control Tower benachrichtigt Sie, wenn diese Art von Drift auftritt. In fast allen Fällen von Abweichungen bei der Vererbung erhalten Sie eine Benachrichtigung über die Änderung *des Mitgliedskontos*. Das liegt daran, dass diese Art von Abweichung in der Regel auftritt, wenn ein Konto verschoben wurde oder wenn die Registrierung eines Kontos fehlschlägt.
**Abweichungen in der Konsole anzeigen und beheben**
In der AWS Control Tower Tower-Konsole können Sie diesen vererbten Drift-Status in der Spalte **Baseline State** auf der Seite **Organizations** einsehen. Die Lösung von der Konsole aus besteht darin, Ihre Organisationseinheit **erneut zu registrieren** oder Ihr Konto zu **aktualisieren**.
**Fehler programmgesteuert anzeigen und beheben**
Um den Drift-Status programmgesteuert anzuzeigen, können Sie die [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html)API aufrufen, um den Status der aktivierten Baselines auf Ihrem Computer anzuzeigen. OUs Verwenden Sie das Flag, um den Status einzelner Konten programmgesteuert mit der API anzuzeigen. `ListEnabledBaselines` `includeChildren`
Sie können diese Art von Abweichung programmgesteuert beheben, indem Sie die API aufrufen. [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html)
## Vererbungsabweichung bei aktivierten Steuerelementen
Diese Art von Abweichung kann bei AWS Control Tower OUs und Konten auftreten.
### Auflösung
AWS Control Tower benachrichtigt Sie, wenn diese Art von Drift auftritt. In fast allen Fällen von Abweichungen bei der Vererbung erhalten Sie eine Benachrichtigung über die Änderung *des Mitgliedskontos*. Das liegt daran, dass diese Art von Abweichung in der Regel auftritt, wenn ein Konto verschoben wurde oder wenn die Registrierung eines Kontos fehlschlägt.
**Abweichungen in der Konsole anzeigen und beheben**
In der AWS Control Tower Tower-Konsole können Sie diesen vererbten Drift-Status auf den Seiten **Organizations**, **Aktivierte Kontrollen** und **Kontodetails** einsehen. Die Lösung von der Konsole aus besteht darin, Ihre Organisationseinheit **erneut zu registrieren** oder Ihr Konto zu **aktualisieren**.
**Fehler programmgesteuert anzeigen und beheben**
Um den vererbten Drift-Status für aktivierte Steuerelemente programmgesteuert anzuzeigen, können Sie die [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledControls.html)API aufrufen, um den Status der aktivierten Steuerelemente auf Ihrem Computer einzusehen. OUs Verwenden Sie die Markierung, um den Status einzelner Konten programmgesteuert mit der `ListEnabledControls` API anzuzeigen. `includeChildren`
Sie können diese Art von Vererbungsabweichung programmgesteuert beheben, indem Sie die API aufrufen. [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)
## EventBridge Schöpfung
**Anmerkung**
EventBridge ist nur für Kunden LZ4 ab 1,0 aktiviert.
EventBridge Beispielformat für AWS Control Tower
```
{
"version": "0",
"id": "cd4d811e-ab12-322b-8255-872ce65b1bc8",
"detail-type": "Drift Detected",
"source": "aws.controltower",
"account": "111122223333",
"time": "2018-03-22T00:38:11Z",
"region": "us-east-1",
"resources": [],
"detail": {
"message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
"managementAccountId" : "012345678912",
"organizationId" : "o-123EXAMPLE",
"driftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
"remediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.",
"accountId" : "012345678909",
"sourceId" : "012345678909",
"destinationId" : "ou-3210-1EXAMPLE"
}
}
```
Anleitung zur Erstellung einer EventBridge Regel für den Empfang von Drift-Benachrichtigungen:
**Um eine EventBridge Regel für Drift-Benachrichtigungen zu erstellen**
1. Öffnen Sie die ** EventBridge Amazon-Konsole**:
1. Wählen Sie im Navigationsbereich **Regeln** aus.
1. Wählen Sie **Regel erstellen** aus.
1. Geben Sie einen Namen und eine Beschreibung für die Regel ein.
1. Bei **Regeltyp** wählen Sie **Regel mit einem Ereignismuster** aus.
1. **Definieren Sie die Ereignisquelle**:
+ Wählen Sie für „Ereignisquelle“ **AWS Dienste** als Ereignisquelle aus.
+ Wählen Sie für „AWS Servicename“ **AWS Control Tower** aus.
+ Wählen Sie für „Ereignistyp“ die Option **Drift Detected**
1. **Wählen Sie das Ziel** aus:
+ Wählen Sie für **Zieltypen** die Option **AWS Service** und für Ziel **auswählen ein Ziel** aus, z. B. ein Drift-Benachrichtigungsthema oder eine Lambda-Funktion. Das Ziel wird ausgelöst, wenn ein Ereignis empfangen wird, das dem in der Regel definierten Ereignismuster entspricht.
+ Geben Sie je nach ausgewähltem Ziel die erforderlichen Konfigurationsdetails an, z. B. den Namen der Lambda-Funktion oder den ARN für das Thema Drift-Benachrichtigung.
1. **Überprüfen und erstellen Sie die Regel**:
+ Überprüfen Sie die Details Ihrer Regel und nehmen Sie alle erforderlichen Änderungen vor.
+ Wenn Sie zufrieden sind, klicken Sie auf **Regel erstellen**, um die neue EventBridge Regel zu speichern.
Nach der Erstellung der Regel beginnt sie mit der Überwachung der angegebenen AWS Control Tower Tower-Ereignisse und löst die ausgewählte Zielaktion aus, wenn Drift-Ereignisse auftreten.
# Wenn Sie Ressourcen außerhalb von AWS Control Tower verwalten
AWS Control Tower richtet in Ihrem Namen Konten, Organisationseinheiten und andere Ressourcen ein, aber Sie sind der Eigentümer dieser Ressourcen. Sie können diese Ressourcen innerhalb oder außerhalb von AWS Control Tower ändern. Der häufigste Ort, an dem Ressourcen außerhalb von AWS Control Tower geändert werden, ist die AWS Organizations Konsole. In diesem Thema wird beschrieben, wie Sie Änderungen an den AWS Control Tower-Ressourcen abgleichen, wenn Sie die Änderungen außerhalb von AWS Control Tower vornehmen.
Das Umbenennen, Löschen und Verschieben von Ressourcen außerhalb der AWS Control Tower Tower-Konsole führt dazu, dass die Konsole nicht mehr synchron ist. Viele Änderungen können automatisch abgeglichen werden. Bestimmte Änderungen erfordern ein Zurücksetzen Ihrer landing zone, um die in der AWS Control Tower Tower-Konsole angezeigten Informationen zu aktualisieren.
Im Allgemeinen führen Änderungen, die Sie außerhalb der AWS Control Tower Tower-Konsole an den AWS Control Tower Tower-Ressourcen vornehmen, zu einer *behebbaren Abweichung* in Ihrer landing zone. Weitere Informationen zu diesen Änderungen finden Sie unter [Reparierbare Änderungen an Ressourcen](drift.md#repairable-changes-to-resources).
****Aufgaben, für die die landing zone zurückgesetzt werden muss****
+ Löschen der Sicherheits-OU *(Ein Sonderfall, der nicht leichtfertig durchgeführt werden sollte.)*
+ Ein gemeinsam genutztes Konto aus der Sicherheits-OU entfernen *(nicht empfohlen.)*
+ Aktualisierung, Anfügen oder Trennen eines mit der Sicherheits-OU verknüpften SCP
****Änderungen, die automatisch von AWS Control Tower aktualisiert werden****
+ Ändern der E-Mail-Adresse eines angemeldeten Kontos
+ Umbenennen eines angemeldeten Kontos
+ Erstellung einer neuen Organisationseinheit (OU) auf oberster Ebene
+ Umbenennen einer registrierten Organisationseinheit
+ Löschen einer registrierten Organisationseinheit *(mit Ausnahme der Sicherheits-OU, für die ein Update erforderlich ist.*)
+ Löschen eines registrierten Kontos *(mit Ausnahme eines gemeinsam genutzten Kontos in der Sicherheits-OU.*)
**Anmerkung**
AWS Service Catalog behandelt Änderungen anders als AWS Control Tower. AWS Service Catalog kann zu einer Änderung der Unternehmensführung führen, wenn Ihre Änderungen dadurch in Einklang gebracht werden. Weitere Informationen zur Aktualisierung eines bereitgestellten Produkts finden Sie in der Dokumentation unter [Aktualisieren bereitgestellter Produkte](https://docs.aws.amazon.com//servicecatalog/latest/userguide/enduser-update.html). AWS Service Catalog
## Verweis auf Ressourcen außerhalb von AWS Control Tower
Wenn Sie neue OUs Konten außerhalb von AWS Control Tower erstellen, werden diese nicht von AWS Control Tower verwaltet, auch wenn sie möglicherweise angezeigt werden.
**Erstellen einer OU**
Organisationseinheiten (OUs), die außerhalb von AWS Control Tower erstellt wurden, werden als *nicht registriert* bezeichnet. Sie werden auf der Seite **Organisation** angezeigt, unterliegen jedoch nicht den AWS Control Tower Tower-Kontrollen.
**Erstellen eines Kontos**
Konten, die außerhalb von AWS Control Tower erstellt wurden, werden als *nicht registriert* bezeichnet. Registrierte und nicht registrierte Konten, die zu einer bei AWS Control Tower registrierten Organisationseinheit gehören, werden auf der Seite **Organisation** angezeigt. Konten, die nicht zu einer registrierten Organisationseinheit gehören, können über die AWS Organizations Konsole eingeladen werden. Durch diese Einladung zum Beitritt wird das Konto nicht bei AWS Control Tower registriert und auch nicht die AWS Control Tower-Governance auf das Konto ausgedehnt. Um die Verwaltung durch die Registrierung des Kontos zu erweitern, rufen Sie die **Organisationsseite** oder die **Kontodetailseite** in AWS Control Tower auf und wählen Sie Konto **registrieren** aus.
## Externes Ändern von AWS Control Tower Tower-Ressourcennamen
Sie können die Namen Ihrer Organisationseinheiten (OUs) und Konten außerhalb der AWS Control Tower Tower-Konsole ändern, und die Konsole wird automatisch aktualisiert, um diese Änderungen widerzuspiegeln.
**Umbenennen einer OU**
AWS Organizations In können Sie den Namen einer Organisationseinheit ändern, indem Sie entweder die AWS Organizations API oder die Konsole verwenden. Wenn Sie den Namen einer Organisationseinheit außerhalb von AWS Control Tower ändern, spiegelt die AWS Control Tower Tower-Konsole die Namensänderung automatisch wider. Wenn Sie Ihre Konten jedoch über bereitstellen AWS Service Catalog, müssen Sie auch Ihre landing zone zurücksetzen, um sicherzustellen, dass AWS Control Tower konsistent bleibt AWS Organizations. Der **Reset-Workflow** gewährleistet die Konsistenz aller Services für die grundlegenden und zusätzlichen OUs Services. Sie können diese Art von Abweichung auf der Seite mit den **Einstellungen für die Landingzone** beheben. Weitere Informationen finden Sie im Abschnitt „Drift lösen“ unter[Abweichungen im AWS Control Tower erkennen und beheben](drift.md).
AWS Control Tower zeigt die Namen von OUs auf der Seite **Organisation** im AWS Control Tower Tower-Dashboard an. Sie können sehen, wann Ihr Vorgang zum Zurücksetzen der landing zone erfolgreich war.
**Umbenennen eines angemeldeten Kontos**
Jedes AWS Konto hat einen Anzeigenamen, der vom Root-Benutzer des Kontos in der AWS Fakturierung und Kostenmanagement Konsole geändert werden kann. Wenn Sie ein Konto umbenennen, das bei AWS Control Tower registriert ist, wird die Namensänderung automatisch in AWS Control Tower widergespiegelt. Weitere Informationen zur Änderung des Kontonamens finden Sie unter [Verwaltung eines AWS Kontos](https://docs.aws.amazon.com//awsaccountbilling/latest/aboutv2/manage-account-payment.html#manage-account-payment-edit-user-name) im *AWS Billing User Guide*.
## Löschen der Sicherheits-Organisationseinheit
Diese Art von Abweichung ist ein Sonderfall. Wenn Sie die **Security** OU löschen, wird eine Seite mit einer Fehlermeldung angezeigt, auf der Sie aufgefordert werden, Ihre landing zone zurückzusetzen. Sie müssen Ihre landing zone zurücksetzen, bevor Sie andere Aktionen in AWS Control Tower ausführen können.
+ Sie können in der AWS Control Tower Tower-Konsole keine Aktionen ausführen und keine neuen Konten erstellen, AWS Service Catalog bis der Reset abgeschlossen ist.
+ Sie werden nicht in der Lage sein, auf der Seite mit den **Einstellungen für die Landingzone** die Schaltfläche „**Zurücksetzen**“ zu sehen.
In diesem Fall erstellt der Vorgang zum Zurücksetzen der landing zone eine neue Sicherheits-OU und verschiebt die beiden gemeinsam genutzten Konten in die neue Sicherheits-OU. AWS Control Tower markiert die Konten Log Archive und Audit als verschoben. Derselbe Prozess behebt die Abweichung bei diesen Konten.
**Wenn Sie feststellen, dass Sie die **Sicherheits-OU** löschen müssen, sollten Sie Folgendes wissen:**
Bevor Sie die **Sicherheits-OU** löschen können, müssen Sie sicherstellen, dass sie keine Konten enthält. Insbesondere müssen Sie die Konten Log Archive und Audit aus der Organisationseinheit entfernen. Es wird empfohlen, diese Konten in eine andere OU zu verschieben.
**Anmerkung**
Das Löschen Ihrer Sicherheits-OU darf nicht ohne gebührende Berücksichtigung durchgeführt werden. Die Aktion könnte zu Compliance-Bedenken führen, wenn die Protokollierung vorübergehend ausgesetzt wird und einige Kontrollen möglicherweise nicht durchgesetzt werden.
Allgemeine Informationen über Abweichungen finden Sie unter „Beheben einer Abweichung“ in [Abweichungen im AWS Control Tower erkennen und beheben](drift.md).
## Ein Konto aus der Sicherheits-OU entfernen
Es wird nicht empfohlen, die gemeinsam genutzten Konten aus Ihrer Organisation zu entfernen oder sie aus der **Security** OU zu entfernen. Wenn Sie versehentlich ein geteiltes Konto entfernt haben, können Sie die Schritte zur Problembehebung in diesem Abschnitt befolgen, um das Konto wiederherzustellen.
+ **Von der AWS Control Tower Tower-Konsole aus:** Um den Behebungsprozess zu starten, folgen Sie den halbmanuellen Behebungsschritten. Stellen Sie sicher, dass der Benutzer oder die Rolle, die Sie für den Zugriff auf die AWS Control Tower Tower-Konsole verwenden, über Ausführungsberechtigungen verfügt`organizations:InviteAccountToOrganization`. Wenn Sie nicht über solche Berechtigungen verfügen, folgen Sie den Schritten zur manuellen Problembehebung, die sowohl die AWS Control Tower Tower-Konsole als auch die AWS Organizations Konsole verwenden.
+ **Ausgehend von der AWS Organizations Konsole:** Dieser Behebungsprozess ist ein etwas längerer, vollständig manueller Vorgang. Wenn Sie die manuellen Schritte zur Problembehebung befolgen, wechseln Sie zwischen der AWS Organizations Konsole und der AWS Control Tower Tower-Konsole. Für die Arbeit in AWS Organizations benötigen Sie einen Benutzer oder eine Rolle mit der `AWSOrganizationsFullAccess` verwalteten Richtlinie oder einer gleichwertigen Richtlinie. Wenn Sie in der AWS Control Tower Tower-Konsole arbeiten, benötigen Sie einen Benutzer oder eine Rolle mit der `AWSControlTowerServiceRolePolicy` verwalteten Richtlinie oder einer gleichwertigen Richtlinie und die Erlaubnis, alle AWS Control Tower Tower-Aktionen auszuführen (Controltower: \$1).
+ Wenn das Konto durch die Schritte zur Problembehebung nicht wiederhergestellt werden konnte, wenden Sie sich an. AWS Support
**Die Ergebnisse des Entfernens eines gemeinsam genutzten Kontos über AWS Organizations:**
+ Das Konto ist nicht mehr durch die obligatorischen Kontrollen von AWS Control Tower mit Service-Kontrollrichtlinien (SCPs) geschützt. **Ergebnis:** *Die von AWS Control Tower im Konto erstellten Ressourcen können geändert oder gelöscht werden.*
+ Das Konto befindet sich nicht mehr unter dem AWS Organizations Verwaltungskonto. **Ergebnis:** *Der Administrator des AWS Organizations Verwaltungskontos hat keinen Einblick mehr in die Ausgaben des Kontos.*
+ Es ist nicht mehr garantiert, dass das Konto von überwacht wird AWS Config. **Ergebnis:** *Der Administrator des AWS Organizations Verwaltungskontos kann möglicherweise keine Ressourcenänderungen erkennen.*
+ Das Konto befindet sich nicht mehr in der Organisation. **Ergebnis:** Die *Aktualisierungen und der Reset von AWS Control Tower schlagen fehl.*
**So stellen Sie ein gemeinsam genutztes Konto mithilfe der AWS Control Tower Tower-Konsole wieder her (halbmanuelles Verfahren)**
1. Melden Sie sich bei der AWS Control Tower Tower-Konsole unter [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower) an. Sie müssen sich als IAM-Benutzer, Benutzer im IAM Identity Center oder als Rolle mit Ausführungsberechtigungen anmelden. `organizations:InviteAccountToOrganization` Wenn Sie nicht über solche Berechtigungen verfügen, verwenden Sie das Verfahren zur manuellen Problembehebung, das weiter unten in diesem Thema beschrieben wird.
1. Wählen Sie auf der Seite **Landingzone-Drift erkannt** die Option **Erneut einladen** aus, um das Entfernen eines gemeinsamen Kontos zu korrigieren, indem Sie das gemeinsame Konto erneut in die Organisation einladen. Eine automatisch generierte E-Mail wird an die E-Mail-Adresse für das Konto gesendet.
1. Nehmen Sie die Einladung an, das gemeinsame Konto wieder in die Organisation aufzunehmen. Führen Sie eine der folgenden Aktionen aus:
+ Melde dich mit dem geteilten Konto an, das entfernt wurde, und gehe dann zu [https://console.aws.amazon.com/organizations/home\$1/invites](https://console.aws.amazon.com/organizations/home#/invites)
+ Wenn du Zugriff auf die E-Mail-Nachricht hast, die gesendet wurde, als du das Konto erneut eingeladen hast, melde dich bei dem entfernten Konto an und klicke dann auf den Link in der Nachricht, um direkt zur Kontoeinladung zu gelangen.
+ Wenn sich das geteilte Konto, das entfernt wurde, nicht in einer anderen Organisation befindet, melden Sie sich bei dem Konto an, öffnen Sie die AWS Organizations Konsole und navigieren Sie zu **Einladungen**.
1. Melden Sie sich erneut beim Verwaltungskonto an oder laden Sie die AWS Control Tower Tower-Konsole neu, falls sie bereits geöffnet ist. Sie werden die **Drift-Seite für die Landing Zone** sehen. Wählen Sie **Reset**, um die landing zone zu reparieren.
1. Warten Sie, bis der Reset-Vorgang abgeschlossen ist.
Wenn die Problembehebung erfolgreich ist, befindet sich das gemeinsam genutzte Konto in einem normalen Zustand und weist die Konformität auf.
Wenn das Konto durch die Schritte zur Problembehebung nicht wiederhergestellt wird, wenden Sie sich an. AWS Support
**So stellen Sie ein geteiltes Konto mithilfe des AWS Control Tower und der AWS Organizations Konsolen wieder her (Manuelle Problembehebung)**
1. Melden Sie sich bei der AWS Organizations Konsole an unter[https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/). Sie müssen sich als IAM-Benutzer, Benutzer im IAM Identity Center oder als Rolle mit der `AWSOrganizationsFullAccess` verwalteten Richtlinie oder einer gleichwertigen Rolle anmelden.
1. Laden Sie das gemeinsame Konto wieder in die Organisation ein. Informationen zu den Anforderungen, Voraussetzungen und dem Verfahren für das Einladen eines Kontos finden Sie im *AWS Organizations Benutzerhandbuch* unter Einen [AWS Account in Ihre Organisation einladen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html). AWS Organizations
1. Melden Sie sich bei dem geteilten Konto an, das entfernt wurde, und gehen Sie dann zu [https://console.aws.amazon.com/organizations/Home\$1/invites, um die Einladung](https://console.aws.amazon.com/organizations/home#/invites) anzunehmen.
1. Melden Sie sich erneut beim Verwaltungskonto an.
1. Melden Sie sich bei der AWS Control Tower Tower-Konsole als Benutzer oder Rolle mit der `AWSControlTowerServiceRolePolicy` verwalteten Richtlinie oder einer gleichwertigen Richtlinie und den Berechtigungen zur Ausführung aller AWS Control Tower Tower-Aktionen an (Controltower: \$1).
1. Sie sehen die **Drift-Seite für die landing zone** mit einer Option zum Zurücksetzen der Landezone. Wählen Sie **Reset**, um die landing zone zu reparieren.
1. Warten Sie, bis der Reset-Vorgang abgeschlossen ist.
Wenn die Problembehebung erfolgreich ist, befindet sich das gemeinsam genutzte Konto in einem normalen Zustand und weist die Konformität auf.
Wenn das Konto durch die Schritte zur Problembehebung nicht wiederhergestellt wird, wenden Sie sich an. AWS Support
## Externe Änderungen, die automatisch aktualisiert werden
Änderungen, die Sie an den E-Mail-Adressen Ihres Kontos vornehmen, werden von AWS Control Tower automatisch aktualisiert, aber Account Factory aktualisiert sie nicht automatisch.
**Ändern der E-Mail-Adresse eines geregelten Kontos**
AWS Control Tower ruft E-Mail-Adressen ab und zeigt sie an, wie es für die Konsolenerfahrung erforderlich ist. Daher werden E-Mail-Adressen für gemeinsam genutzte Konten und andere Konten aktualisiert und konsistent in AWS Control Tower angezeigt, nachdem Sie sie geändert haben.
**Anmerkung**
In zeigt Account Factory die Parameter an AWS Service Catalog, die in der Konsole angegeben wurden, als Sie ein bereitgestelltes Produkt erstellt haben. Die ursprüngliche E-Mail-Adresse des Kontos wird jedoch nicht automatisch aktualisiert, wenn sich die E-Mail-Adresse des Kontos ändert. Dies liegt daran, dass das Konto konzeptionell innerhalb des bereitgestellten Produkts enthalten ist; es ist nicht dasselbe wie das bereitgestellte Produkt. Um diesen Wert zu aktualisieren, müssen Sie das bereitgestellte Produkt aktualisieren, was zu einer Änderung der Governance-Position führen kann.
**Anwenden externer Regeln AWS Config **
AWS Control Tower zeigt den Compliance-Status aller AWS Config Regeln an, die in den bei AWS Control Tower registrierten Organisationseinheiten implementiert wurden, einschließlich Regeln, die außerhalb der AWS Control Tower Tower-Konsole aktiviert wurden.
### Löschen von AWS Control Tower-Ressourcen außerhalb von AWS Control Tower
Sie können Konten in AWS Control Tower löschen OUs und müssen keine weiteren Maßnahmen ergreifen, um die Updates zu sehen. Account Factory wird automatisch aktualisiert, wenn Sie eine OU löschen, aber nicht, wenn Sie ein Konto löschen.
**Löschen einer registrierten OU (außer der Security OU)**
Darin AWS Organizations können Sie leere Organisationseinheiten (OUs) mithilfe der API oder der Konsole entfernen. OUs die Konten enthalten, können nicht gelöscht werden.
AWS Control Tower erhält eine Benachrichtigung AWS Organizations , wenn eine Organisationseinheit gelöscht wird. Es aktualisiert die OU-Liste in der Account Factory, sodass die Liste der registrierten Einheiten konsistent OUs bleibt.
**Anmerkung**
In wird die Account Factory aktualisiert AWS Service Catalog, um die gelöschte Organisationseinheit aus der Liste der verfügbaren OUs Organisationseinheiten zu entfernen, für die Sie ein Konto bereitstellen können.
**Löschen eines angemeldeten Kontos aus einer Organisationseinheit**
Wenn Sie ein registriertes Konto löschen, erhält AWS Control Tower eine Benachrichtigung und aktualisiert es, sodass die Informationen konsistent bleiben.
**Anmerkung**
In AWS Service Catalog wird das von Account Factory bereitgestellte Produkt, das das verwaltete Konto darstellt, nicht aktualisiert, um das Konto zu löschen. Stattdessen wird das bereitgestellte Produkt als `TAINTED` und in einem Fehlerzustand angezeigt. Gehen Sie zur Bereinigung zu AWS Service Catalog, wählen Sie das bereitgestellte Produkt aus und wählen Sie dann **Terminate (Beenden)**.