Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Arten von Abweichungen in der Unternehmensführung
Abweichungen in der Unternehmensführung, auch als organisatorische Drift bezeichnet OUs, treten auf SCPs, wenn, und Mitgliedskonten geändert oder aktualisiert werden. Folgende Arten von Governance-Abweichungen können in AWS Control Tower erkannt werden:
Veränderungen bei der Verwaltung von Konten und Organisationseinheiten
Drift in die Landezone
Kontrolldrift bei Nicht-SCP-Steuerungen
Vererbungsabweichung bei Ausgangswerten und Kontrollen
In den nächsten Abschnitten finden Sie detaillierte Informationen zu diesen Arten von Abweichungen, die AWS Control Tower meldet, und zu deren Behebung.
Anmerkung
AWS Control Tower beendet das Senden von Drift-Benachrichtigungen an das SNS-Thema für Kunden LZ4 ab einem Wert von 0 und beginnt stattdessen mit dem Senden von Drift-Benachrichtigungen EventBridge an das Verwaltungskonto. Beispiele für Ereignisse und Anleitungen zum Empfang von Drift-Benachrichtigungen finden EventBridge Sie im nachfolgenden Abschnitt zur Erstellung. EventBridge
Änderungen bei der Verwaltung von Konten und Organisationseinheiten
Drift in die Landezone
Eine andere Art von Drift ist die Landezonendrift, die über das Verwaltungskonto ermittelt werden kann. Ein Drift in der Landezone besteht aus einer Verschiebung der IAM-Rollen oder jeder Art von organisatorischer Drift, die sich speziell auf Foundational Accounts OUs und Shared Accounts auswirkt.
Ein Sonderfall von Landezonendrift ist die Rollendrift, die erkannt wird, wenn eine benötigte Rolle nicht verfügbar ist. Wenn diese Art von Abweichung auftritt, zeigt die Konsole eine Warnseite und einige Anweisungen zur Wiederherstellung der Rolle an. Ihre landing zone ist nicht verfügbar, bis der Rollenwechsel behoben ist. Weitere Informationen zur Rollenverschiebung finden Sie im Abschnitt Erforderliche Rollen nicht löschenArten von Abweichungen, die sofort behoben werden müssen.
Kontrollabweichung bei Nicht-SCP-Kontrollen
AWS Control Tower meldet Kontrollabweichungen in Bezug auf Kontrollen, die mit Ressourcenkontrollrichtlinien (RCPs), deklarativen Richtlinien und Kontrollen implementiert wurden, die Teil des AWS Security Hub CSPM Service-Managed Standard sind: AWS Control Tower.
Abweichungen bei der Vererbung von Referenzwerten und Kontrollen
Basisabweichung aktiviert
Wenn sich die Basiskonfigurationen auf einem Mitgliedskonto von denen unterscheiden, die auf die übergeordnete Organisationseinheit angewendet wurden, meldet AWS Control Tower Vererbungsabweichungen für aktivierte Baselines (Ressourcenkonfigurationen) auf diesen OUs und Konten. Weitere Informationen zu Baselines finden Sie unter Typen von Baselines.
-
Control Drift aktiviert
Wenn sich die aktivierten Kontrollkonfigurationen auf einem Mitgliedskonto von denen unterscheiden, die auf die übergeordnete Organisationseinheit angewendet wurden, meldet AWS Control Tower Vererbungsabweichungen für aktivierte Kontrollen für diese OUs und Konten.
Abweichung, die nicht gemeldet wird
-
AWS Control Tower sucht nicht nach Abweichungen in Bezug auf andere Services, die mit dem Verwaltungskonto funktionieren AWS CloudTrail, einschließlich Amazon CloudWatch, IAM Identity Center CloudFormation AWS Config,, usw.
-
AWS Control Tower erkennt keine Ressourcendrift oder andere Arten von Drift, die auftreten können, wenn Sie die in einer Baseline enthaltenen Ressourcen ändern.
Mitgliedskonto wurde verschoben
Anmerkung
Für Kunden mit LZ 4.0+ sendet AWS Control Tower keine Benachrichtigungen über Kontoverschiebungen für Account Factory Factory-Konten ohne. AWSControl TowerBaseline
Diese Art von Abweichung tritt eher auf dem Konto als auf der Organisationseinheit auf. Diese Art von Abweichung kann auftreten, wenn ein AWS Control Tower Tower-Mitgliedskonto, das Auditkonto oder das Protokollarchiv-Konto von einer registrierten AWS Control Tower Tower-Organisationseinheit in eine andere Organisationseinheit verschoben wird. In vielen Fällen können Sie diese Art von Abweichung vermeiden, wenn Sie die automatische Registrierung für Konten auf der Seite Einstellungen aktivieren. Weitere Details finden Sie unter Konten mit automatischer Registrierung verschieben und registrieren.
Im Folgenden finden Sie ein Beispiel für eine Drift-Benachrichtigung, wenn diese Art von Abweichung erkannt wird.
{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }
Lösungen
Wenn diese Art von Abweichung bei einem von Account Factory bereitgestellten Konto in einer Organisationseinheit mit bis zu 1000 Konten auftritt, können Sie sie wie folgt beheben:
-
Navigieren Sie in der AWS Control Tower Tower-Konsole zur Organisationsseite, wählen Sie das Konto aus und wählen Sie oben rechts Konto aktualisieren (schnellste Option für einzelne Konten).
-
Navigieren Sie in der AWS Control Tower Tower-Konsole zur Organisationsseite und wählen Sie dann Erneut registrieren für die Organisationseinheit, die das Konto enthält (schnellste Option für mehrere Konten). Weitere Informationen finden Sie unter Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower.
-
Aktualisierung des bereitgestellten Produkts in Account Factory. Weitere Informationen finden Sie unter Konten mit AWS Control Tower aktualisieren und verschieben.
Anmerkung
Wenn Sie mehrere individuelle Konten aktualisieren müssen, finden Sie auch diese Methode zum Durchführen von Aktualisierungen mit einem Skript:Konten mithilfe von Automatisierung bereitstellen und aktualisieren.
-
Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 1000 Konten auftritt, kann die Auflösung der Abweichung davon abhängen, welcher Kontotyp verschoben wurde, wie in den nächsten Absätzen erläutert. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.
-
Wenn ein von Account Factory bereitgestelltes Konto verschoben wird — In einer OU mit weniger als 1000 Konten können Sie die Kontoverschiebung beheben, indem Sie das bereitgestellte Produkt in Account Factory aktualisieren, die OU erneut registrieren oder Ihre landing zone aktualisieren.
In einer Organisationseinheit mit mehr als 1000 Konten müssen Sie die Abweichung beheben, indem Sie für jedes verschobene Konto eine Aktualisierung vornehmen, entweder über die AWS Control Tower Tower-Konsole oder das bereitgestellte Produkt, da die Aktualisierung durch die erneute Registrierung der Organisationseinheit nicht durchgeführt wird. Weitere Informationen finden Sie unter Konten mit AWS Control Tower aktualisieren und verschieben.
-
Wenn ein geteiltes Konto verschoben wird — Sie können die Abweichung vom Verschieben des Audit- oder Protokollarchiv-Kontos beheben, indem Sie Ihre landing zone aktualisieren. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.
-
Veralteter Feldname
Der Feldname MasterAccountID wurde geändert, sodass er den Richtlinien ManagementAccountID entspricht AWS . Der alte Name ist veraltet. Seit 2022 funktionieren Skripten, die den veralteten Feldnamen enthalten, nicht mehr.
Mitgliedskonto wurde entfernt
Diese Art von Abweichung kann auftreten, wenn ein Mitgliedskonto aus einer registrierten AWS Control Tower Tower-Organisationseinheit entfernt wird. Das folgende Beispiel zeigt die Drift-Benachrichtigung, wenn diese Art von Abweichung erkannt wird.
{ "Message" : "AWS Control Tower has detected that the member account012345678909has been removed from organizationo-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }
Auflösung
-
Wenn diese Art von Abweichung in einem Mitgliedskonto auftritt, können Sie die Abweichung beheben, indem Sie das Konto in der AWS Control Tower Tower-Konsole oder in Account Factory aktualisieren. Sie können das Konto beispielsweise über den Account Factory Factory-Update-Assistenten zu einer anderen registrierten Organisationseinheit hinzufügen. Weitere Informationen finden Sie unter Konten mit AWS Control Tower aktualisieren und verschieben.
-
Wenn ein gemeinsam genutzter Account aus einer Foundational OU entfernt wird, müssen Sie die Abweichung beheben, indem Sie Ihre landing zone zurücksetzen. Solange dieser Fehler nicht behoben ist, können Sie die AWS Control Tower Tower-Konsole nicht verwenden.
-
Weitere Informationen zur Behebung von Abweichungen bei Konten und finden Sie OUs unterWenn Sie Ressourcen außerhalb von AWS Control Tower verwalten.
Anmerkung
In Service Catalog wird das von Account Factory bereitgestellte Produkt, das das Konto darstellt, nicht aktualisiert, um das Konto zu entfernen. Stattdessen wird das bereitgestellte Produkt als TAINTED und in einem Fehlerzustand angezeigt. Gehen Sie zum Aufräumen zum Service Catalog, wählen Sie das bereitgestellte Produkt aus und klicken Sie dann auf Terminate.
Ungeplantes Update auf Managed SCP
Diese Art von Abweichung kann auftreten, wenn ein SCP für ein Steuerelement in der AWS Organizations Konsole oder programmgesteuert mithilfe der AWS CLI oder einer der AWS aktualisiert wird. SDKs Im Folgenden finden Sie ein Beispiel für die Drift-Benachrichtigung, wenn diese Art von Drift erkannt wird.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Auflösung
Wenn diese Abweichung in einer Organisationseinheit mit bis zu 1000 Konten auftritt, können Sie sie wie folgt beheben:
-
Navigieren Sie zur Organisationsseite in der AWS Control Tower Tower-Konsole, um die Organisationseinheit erneut zu registrieren (schnellste Option). Weitere Informationen finden Sie unter Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower.
-
Aktualisierung Ihrer landing zone (langsamere Option). Weitere Informationen finden Sie unter Aktualisiere deine landing zone.
Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 1000 Konten auftritt, beheben Sie das Problem, indem Sie Ihre landing zone aktualisieren. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.
SCP wurde von der verwalteten Organisationseinheit getrennt
Diese Art von Abweichung kann auftreten, wenn ein SCP für eine Steuerung von einer OU getrennt wurde, die von AWS Control Tower verwaltet wird. Dieses Ereignis tritt besonders häufig auf, wenn Sie von außerhalb der AWS Control Tower Tower-Konsole arbeiten. Im Folgenden finden Sie ein Beispiel für eine Drift-Benachrichtigung, wenn diese Art von Drift erkannt wird.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Auflösung
Wenn diese Abweichung in einer Organisationseinheit mit bis zu 1000 Konten auftritt, können Sie sie wie folgt beheben:
-
Navigieren Sie zur OU in der AWS Control Tower Tower-Konsole, um die OU erneut zu registrieren (schnellste Option). Weitere Informationen finden Sie unter Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower.
-
Aktualisierung Ihrer landing zone (langsamere Option). Wenn sich die Abweichung auf eine obligatorische Kontrolle auswirkt, erstellt der Aktualisierungsprozess eine neue Service Control Policy (SCP) und fügt sie der OU hinzu, um die Abweichung zu beheben. Weitere Informationen zum Aktualisieren Ihrer landing zone finden Sie unterAktualisiere deine landing zone.
Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 1000 Konten auftritt, beheben Sie das Problem, indem Sie Ihre landing zone aktualisieren. Wenn sich die Abweichung auf eine obligatorische Kontrolle auswirkt, erstellt der Aktualisierungsprozess eine neue Service Control Policy (SCP) und fügt sie der OU hinzu, um die Abweichung zu beheben. Weitere Informationen zum Aktualisieren Ihrer landing zone finden Sie unterAktualisiere deine landing zone.
Die grundlegende Organisationseinheit wurde gelöscht
Diese Art von Abweichung gilt nur für AWS Control Tower Foundational OUs, wie z. B. die Security OU. Es kann vorkommen, wenn eine Foundational OU außerhalb der AWS Control Tower Tower-Konsole gelöscht wird. Foundational OUs kann nicht verschoben werden, ohne dass es zu einer solchen Abweichung kommt, da das Verschieben einer Organisationseinheit dasselbe ist wie das Löschen und das anschließende Hinzufügen an einer anderen Stelle. Wenn Sie die Abweichung beheben, indem Sie Ihre landing zone aktualisieren, ersetzt AWS Control Tower die Foundational OU am ursprünglichen Standort. Das folgende Beispiel zeigt eine Drift-Benachrichtigung, die Sie möglicherweise erhalten, wenn diese Art von Drift erkannt wird.
{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }
Auflösung
Da diese Abweichung OUs nur bei Foundational auftritt, besteht die Lösung darin, die landing zone zu aktualisieren. Wenn andere Typen gelöscht OUs werden, wird AWS Control Tower automatisch aktualisiert.
Weitere Informationen zur Behebung von Abweichungen bei Konten und finden Sie OUs unterWenn Sie Ressourcen außerhalb von AWS Control Tower verwalten.
Änderung der CSPM-Steuerung im Security Hub
Diese Art von Abweichung tritt auf, wenn eine Steuerung, die Teil des AWS Security Hub CSPM Service-Managed Standard: AWS Control Tower ist, einen Drift-Status meldet. Der AWS Security Hub CSPM Service selbst meldet keinen Drift-Status für diese Kontrollen. Stattdessen sendet der Service seine Ergebnisse an AWS Control Tower.
Eine Drift bei der Kontrolle des Security Hub CSPM kann auch festgestellt werden, wenn AWS Control Tower seit mehr als 24 Stunden kein Status-Update von Security Hub CSPM erhalten hat. Wenn diese Ergebnisse nicht wie erwartet eingehen, überprüft AWS Control Tower, ob die Kontrolle nicht stimmt. Das folgende Beispiel zeigt eine Drift-Benachrichtigung, die Sie möglicherweise erhalten, wenn diese Art von Abweichung erkannt wird.
{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "SH.XXXXXXX.1", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>". "Region" : "us-east-1" }
Auflösung
OUs Bei weniger als 1000 Konten besteht die empfohlene Lösung darin, die ResetEnabledControlAPI für das Drifted Control aufzurufen. In der Konsole können Sie die Option Erneut registrieren für die Organisationseinheit auswählen, wodurch die Steuerung auf den ursprünglichen Zustand zurückgesetzt wird. Alternativ können Sie für jede Organisationseinheit die Steuerung über die Konsole oder den AWS Control Tower entfernen und wieder aktivieren APIs, wodurch die Steuerung ebenfalls zurückgesetzt wird.
Weitere Informationen zur Behebung von Abweichungen bei Konten und OUs finden Sie unter. Wenn Sie Ressourcen außerhalb von AWS Control Tower verwalten
Beherrschen Sie Richtlinienabweichungen
Diese Art von Abweichung tritt auf, wenn eine Kontrolle, die mit Ressourcenkontrollrichtlinien (RCPs) oder deklarativen Richtlinien implementiert wurde, eine Abweichung meldet. Es gibt einen Status von zurückCONTROL_INEFFECTIVE, den Sie in der AWS Control Tower Tower-Konsole und in der Drift-Nachricht sehen können. Die Drift-Nachricht für diese Art von Drift beinhaltet auch die EnabledControlIdentifier für die betroffene Kontrolle.
Diese Art von Drift wird für SCP-basierte Kontrollen nicht gemeldet.
Das folgende Beispiel zeigt eine Drift-Benachrichtigung, die Sie möglicherweise erhalten, wenn diese Art von Drift erkannt wird.
{ "Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.", "MasterAccountId": "123456789XXX", "ManagementAccountId": "123456789XXX", "OrganizationId": "o-123EXAMPLE", "DriftType": "CONTROL_INEFFECTIVE", "RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.", "TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567", "ControlId": "CT.XXXXXXX.PV.1", "ControlName": "EBS snapshots should not be publicly restorable", "ApiControlIdentifier": "arn:aws:controlcatalog:::control/<UNIQUE_ID>", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>" }
Auflösung
Die einfachste Lösung für Abweichungen von Kontrollrichtlinien bei RCP-Kontrollen, deklarativen Richtlinienkontrollen und Security Hub-CSPM-Steuerungen, die in AWS Control Tower aktiviert sind, besteht darin, die API aufzurufen. ResetEnabledControl
OUs Bei weniger als 1000 Konten besteht eine weitere Lösung von der Konsole oder API aus darin, die Organisationseinheit erneut zu registrieren, wodurch die Steuerung auf den ursprünglichen Zustand zurückgesetzt wird.
Für jede einzelne Organisationseinheit können Sie die Steuerung über die Konsole oder den AWS Control Tower entfernen und wieder aktivieren APIs, wodurch die Steuerung ebenfalls zurückgesetzt wird.
Weitere Informationen zur Behebung von Abweichungen bei Konten und OUs finden Sie unter. Wenn Sie Ressourcen außerhalb von AWS Control Tower verwalten
Vertrauenswürdiger Zugriff deaktiviert
Diese Art von Drift gilt für Landezonen im AWS Control Tower. Es tritt auf, wenn Sie den vertrauenswürdigen Zugriff auf AWS Control Tower deaktivieren, AWS Organizations nachdem Sie Ihre AWS Control Tower Tower-Landezone eingerichtet haben.
Wenn der vertrauenswürdige Zugriff deaktiviert ist, empfängt AWS Control Tower keine Änderungsereignisse mehr von AWS Organizations. AWS Control Tower ist darauf angewiesen, dass diese Änderungsereignisse synchronisiert bleiben AWS Organizations. Infolgedessen kann es sein, dass AWS Control Tower organisatorische Änderungen an Konten und übersieht OUs. Aus diesem Grund ist es wichtig, dass Sie jedes Mal, wenn Sie Ihre landing zone aktualisieren, jede Organisationseinheit neu registrieren.
Beispiel: Drift-Benachrichtigung
Im Folgenden finden Sie ein Beispiel für die Drift-Benachrichtigung, die Sie erhalten, wenn diese Art von Abweichung auftritt.
{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }
Auflösung
AWS Control Tower benachrichtigt Sie, wenn diese Art von Abweichung in der AWS Control Tower Tower-Konsole auftritt. Die Lösung besteht darin, Ihre AWS Control Tower Tower-Landezone zurückzusetzen. Weitere Informationen finden Sie unter Drift beheben.
Vererbungsabweichung bei aktivierten Baselines
Diese Art von Abweichung kann bei AWS Control Tower OUs und Konten auftreten.
Auflösung
AWS Control Tower benachrichtigt Sie, wenn diese Art von Drift auftritt. In fast allen Fällen von Abweichungen bei der Vererbung erhalten Sie eine Benachrichtigung über die Änderung des Mitgliedskontos. Das liegt daran, dass diese Art von Abweichung in der Regel auftritt, wenn ein Konto verschoben wurde oder wenn die Registrierung eines Kontos fehlschlägt.
Abweichungen in der Konsole anzeigen und beheben
In der AWS Control Tower Tower-Konsole können Sie diesen vererbten Drift-Status in der Spalte Baseline State auf der Seite Organizations einsehen. Die Lösung von der Konsole aus besteht darin, Ihre Organisationseinheit erneut zu registrieren oder Ihr Konto zu aktualisieren.
Fehler programmgesteuert anzeigen und beheben
Um den Drift-Status programmgesteuert anzuzeigen, können Sie die ListEnabledBaselinesAPI aufrufen, um den Status der aktivierten Baselines auf Ihrem Computer anzuzeigen. OUs Verwenden Sie das Flag, um den Status einzelner Konten programmgesteuert mit der API anzuzeigen. ListEnabledBaselines includeChildren
Sie können diese Art von Abweichung programmgesteuert beheben, indem Sie die API aufrufen. ResetEnabledBaseline
Vererbungsabweichung bei aktivierten Steuerelementen
Diese Art von Abweichung kann bei AWS Control Tower OUs und Konten auftreten.
Auflösung
AWS Control Tower benachrichtigt Sie, wenn diese Art von Drift auftritt. In fast allen Fällen von Abweichungen bei der Vererbung erhalten Sie eine Benachrichtigung über die Änderung des Mitgliedskontos. Das liegt daran, dass diese Art von Abweichung in der Regel auftritt, wenn ein Konto verschoben wurde oder wenn die Registrierung eines Kontos fehlschlägt.
Abweichungen in der Konsole anzeigen und beheben
In der AWS Control Tower Tower-Konsole können Sie diesen vererbten Drift-Status auf den Seiten Organizations, Aktivierte Kontrollen und Kontodetails einsehen. Die Lösung von der Konsole aus besteht darin, Ihre Organisationseinheit erneut zu registrieren oder Ihr Konto zu aktualisieren.
Fehler programmgesteuert anzeigen und beheben
Um den vererbten Drift-Status für aktivierte Steuerelemente programmgesteuert anzuzeigen, können Sie die ListEnabledControlsAPI aufrufen, um den Status der aktivierten Steuerelemente auf Ihrem Computer einzusehen. OUs Verwenden Sie die Markierung, um den Status einzelner Konten programmgesteuert mit der ListEnabledControls API anzuzeigen. includeChildren
Sie können diese Art von Vererbungsabweichung programmgesteuert beheben, indem Sie die API aufrufen. ResetEnabledControl
EventBridge Schöpfung
Anmerkung
EventBridge ist nur für Kunden LZ4 ab 1,0 aktiviert.
EventBridge Beispielformat für AWS Control Tower
{ "version": "0", "id": "cd4d811e-ab12-322b-8255-872ce65b1bc8", "detail-type": "Drift Detected", "source": "aws.controltower", "account": "111122223333", "time": "2018-03-22T00:38:11Z", "region": "us-east-1", "resources": [], "detail": { "message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "managementAccountId" : "012345678912", "organizationId" : "o-123EXAMPLE", "driftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "remediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "accountId" : "012345678909", "sourceId" : "012345678909", "destinationId" : "ou-3210-1EXAMPLE" } }
Anleitung zur Erstellung einer EventBridge Regel für den Empfang von Drift-Benachrichtigungen:
Um eine EventBridge Regel für Drift-Benachrichtigungen zu erstellen
-
Öffnen Sie die EventBridge Amazon-Konsole:
-
Wählen Sie im Navigationsbereich Regeln aus.
-
Wählen Sie Regel erstellen aus.
-
Geben Sie einen Namen und eine Beschreibung für die Regel ein.
-
Bei Regeltyp wählen Sie Regel mit einem Ereignismuster aus.
-
Definieren Sie die Ereignisquelle:
-
Wählen Sie für „Ereignisquelle“ AWS Dienste als Ereignisquelle aus.
-
Wählen Sie für „AWS Servicename“ AWS Control Tower aus.
-
Wählen Sie für „Ereignistyp“ die Option Drift Detected
-
-
Wählen Sie das Ziel aus:
-
Wählen Sie für Zieltypen die Option AWS Service und für Ziel auswählen ein Ziel aus, z. B. ein Drift-Benachrichtigungsthema oder eine Lambda-Funktion. Das Ziel wird ausgelöst, wenn ein Ereignis empfangen wird, das dem in der Regel definierten Ereignismuster entspricht.
-
Geben Sie je nach ausgewähltem Ziel die erforderlichen Konfigurationsdetails an, z. B. den Namen der Lambda-Funktion oder den ARN für das Thema Drift-Benachrichtigung.
-
-
Überprüfen und erstellen Sie die Regel:
-
Überprüfen Sie die Details Ihrer Regel und nehmen Sie alle erforderlichen Änderungen vor.
-
Wenn Sie zufrieden sind, klicken Sie auf Regel erstellen, um die neue EventBridge Regel zu speichern.
-
Nach der Erstellung der Regel beginnt sie mit der Überwachung der angegebenen AWS Control Tower Tower-Ereignisse und löst die ausgewählte Zielaktion aus, wenn Drift-Ereignisse auftreten.
