Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Lebenszyklusereignisse in AWS Control Tower
Einige von AWS Control Tower protokollierte Ereignisse sind *Lebenszyklusereignisse*. Der Zweck eines Lebenszyklusereignisses besteht darin, den *Abschluss* bestimmter AWS Control Tower Tower-Aktionen zu kennzeichnen, die den Status von Ressourcen ändern. Lebenszyklusereignisse beziehen sich auf Ressourcen, die AWS Control Tower erstellt oder verwaltet, z. B. eine landing zone, Baseline oder Kontrolle, die sich auf eine Organisationseinheit (OU) oder ein Konto beziehen.
**Merkmale von AWS Control Tower Tower-Lebenszyklusereignissen**
+ Für jedes Lebenszyklusereignis zeigt das Ereignisprotokoll an, ob die ursprüngliche Control Tower-Aktion erfolgreich abgeschlossen wurde oder fehlgeschlagen ist.
+ AWS CloudTrail zeichnet jedes Lebenszyklusereignis automatisch als * AWS Nicht-API-Serviceereignis* auf. Weitere Informationen finden Sie [im AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/non-api-aws-service-events.html).
+ Jedes Lifecycle-Ereignis wird auch an die Amazon EventBridge - und Amazon CloudWatch Events-Services übermittelt. **Hinweis:** Um Lifecycle-Ereignisse empfangen zu können EventBridge, müssen Sie über einen aktiven AWS CloudTrail Trail mit aktivierter Protokollierung verfügen. Weitere Informationen zu AWS Serviceereignissen, die über bereitgestellt werden AWS CloudTrail, finden Sie unter [AWS-Serviceereignisse, die über AWS bereitgestellt werden](https://docs.aws.amazon.com//eventbridge/latest/userguide/eb-service-event-cloudtrail.html), CloudTrail im EventBridge Amazon-Benutzerhandbuch.
**Lebenszyklusereignisse in AWS Control Tower bieten zwei Hauptvorteile:**
+ Da ein Lebenszyklusereignis den Abschluss einer AWS Control Tower Tower-Aktion registriert, können Sie eine EventBridge Amazon-Regel oder eine Amazon CloudWatch Events-Regel erstellen, die je nach Status des Lebenszyklusereignisses die nächsten Schritte in Ihrem Automatisierungs-Workflow auslösen kann.
+ Die Protokolle bieten zusätzliche Details, um Administratoren und Prüfer bei der Überprüfung bestimmter Aktivitätstypen in Ihren Organisationen zu unterstützen.
**Funktionsweise von Lebenszyklusereignissen**
AWS Control Tower stützt sich bei der Umsetzung seiner Aktionen auf mehrere Services. Daher wird jedes Lebenszyklusereignis erst aufgezeichnet, nachdem eine Reihe von Aktionen abgeschlossen ist. Wenn Sie beispielsweise eine Steuerung auf einer Organisationseinheit aktivieren, startet AWS Control Tower eine Reihe von Unterschritten, die die Anforderung implementieren. Das Endergebnis der gesamten Reihe von Unterschritten wird im Protokoll als Status des Lebenszyklusereignisses aufgezeichnet.
+ Wenn jeder zugrunde liegende Unterschritt erfolgreich abgeschlossen wurde, wird der Lebenszyklusereignis-Status als **Succeeded (Erfolgreich)** aufgezeichnet.
+ Wenn einer der zugrunde liegenden Unterschritte nicht erfolgreich abgeschlossen wurde, wird der Lebenszyklusereignis-Status als **Failed (Fehlgeschlagen)** aufgezeichnet.
Jedes Lebenszyklusereignis enthält einen protokollierten Zeitstempel, der angibt, wann die AWS Control Tower Tower-Aktion initiiert wurde, und einen weiteren Zeitstempel, der angibt, wann das Lebenszyklusereignis abgeschlossen ist, was Erfolg oder Misserfolg kennzeichnet.
**Anzeigen von Lebenszyklusereignissen im Control Tower**
Sie können Lebenszyklusereignisse auf der Seite **Aktivitäten** in Ihrem AWS Control Tower Tower-Dashboard anzeigen.
+ Um zur Seite **Activities (Aktivitäten)** zu gelangen, wählen Sie im linken Navigationsbereich die Option **Activities (Aktivitäten)** aus.
+ Um weitere Details zu einem bestimmten Ereignis zu erhalten, wählen Sie das Ereignis und dann oben rechts die Schaltfläche **View Details (Details anzeigen)** aus.
Weitere Informationen zur Integration von AWS Control Tower Tower-Lifecycle-Ereignissen in Ihre Workflows finden Sie in diesem Blogbeitrag Using [Lifecycle-Ereignisse, um AWS Control Tower Tower-Aktionen nachzuverfolgen und automatisierte Workflows auszulösen](https://aws.amazon.com//blogs/mt/using-lifecycle-events-to-track-aws-control-tower-actions-and-trigger-automated-workflows/).
**Erwartetes Verhalten CreateManagedAccount und UpdateManagedAccount Lebenszyklusereignisse**
Wenn Sie ein Konto erstellen oder ein Konto bei AWS Control Tower registrieren, rufen diese beiden Aktionen dieselbe interne API auf. Wenn während des Vorgangs ein Fehler auftritt, tritt dieser normalerweise auf, nachdem das Konto erstellt, aber nicht vollständig bereitgestellt wurde. Wenn Sie nach dem Fehler erneut versuchen, das Konto zu erstellen, oder wenn Sie versuchen, das bereitgestellte Produkt zu aktualisieren, stellt AWS Control Tower fest, dass das Konto bereits existiert.
Da das Konto existiert, zeichnet AWS Control Tower das `UpdateManagedAccount` Lebenszyklusereignis statt des `CreateManagedAccount` Lebenszyklusereignisses am Ende der Wiederholungsanforderung auf. Möglicherweise haben Sie aufgrund des Fehlers mit einem weiteren `CreateManagedAccount` Ereignis gerechnet. Bei dem `UpdateManagedAccount` Lebenszyklusereignis handelt es sich jedoch um das erwartete und erwünschte Verhalten.
Wenn Sie planen, Konten mithilfe automatisierter Methoden bei AWS Control Tower zu erstellen oder zu registrieren, programmieren Sie die Lambda-Funktion so, dass sie sowohl nach **UpdateManagedAccount**Lebenszyklusereignissen als **CreateManagedAccount**auch nach Lebenszyklusereignissen sucht.
**Namen des Lebenszyklusereignis**
Jedes Lebenszyklusereignis ist so benannt, dass es der ursprünglichen AWS Control Tower Tower-Aktion entspricht, die ebenfalls von AWS aufgezeichnet wird CloudTrail. So wird beispielsweise ein Lebenszyklusereignis benannt, das durch das AWS Control Tower `CreateManagedAccount` CloudTrail Tower-Ereignis ausgelöst wurde`CreateManagedAccount`.
Jeder Name in der nachfolgenden Liste ist ein Link zu einem Beispiel der protokollierten Details im `JSON`-Format. Die zusätzlichen Details in diesen Beispielen stammen aus den CloudWatch Amazon-Ereignisprotokollen.
Obwohl `JSON` Kommentare nicht unterstützt, wurden zur Erläuterung einige Kommentare in den Beispielen hinzugefügt. Kommentaren wird "//" vorangestellt und sie werden auf der rechten Seite der Beispiele angezeigt.
In diesen Beispielen sind einige Kontonamen und Organisationsnamen verdeckt. Eine `accountId` ist immer eine 12-stellige Zahlenfolge, die in den Beispielen durch "xxxxxxxxxxxx" ersetzt wurde. Eine `organizationalUnitID` ist eine eindeutige Zeichenfolge aus Buchstaben und Zahlen. Ihre Form bleibt in den Beispielen erhalten.
+ [`CreateManagedAccount`](#create-managed-account): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Erstellung und Bereitstellung eines neuen Kontos mit Account Factory erfolgreich abgeschlossen hat.
+ [`UpdateManagedAccount`](#update-managed-account): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Aktualisierung eines bereitgestellten Produkts, das mit einem Konto verknüpft ist, das Sie zuvor mithilfe von Account Factory erstellt hatten, erfolgreich abgeschlossen hat.
+ [`EnableGuardrail`](#enable-control): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Aktivierung einer Steuerung auf einer Organisationseinheit erfolgreich abgeschlossen hat.
+ [`DisableGuardrail`](#disable-control): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Deaktivierung einer Steuerung auf einer Organisationseinheit erfolgreich abgeschlossen hat.
+ [`SetupLandingZone`](#setup-landing-zone): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Einrichtung einer landing zone erfolgreich abgeschlossen hat.
+ [`UpdateLandingZone`](#update-landing-zone): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Aktualisierung Ihrer bestehenden landing zone erfolgreich abgeschlossen hat.
+ [`RegisterOrganizationalUnit`](#register-organizational-unit): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Aktivierung seiner Governance-Funktionen auf einer Organisationseinheit erfolgreich abgeschlossen hat.
+ [`DeregisterOrganizationalUnit`](#deregister-organizational-unit): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Deaktivierung seiner Governance-Funktionen auf einer Organisationseinheit erfolgreich abgeschlossen hat.
+ [`PrecheckOrganizationalUnit`](#precheck-organizational-unit): Das Protokoll zeichnet auf, ob AWS Control Tower eine Ressource erkannt hat, die den erfolgreichen Abschluss des **Extend Governance-Vorgangs** verhindern würde.
+ [`EnableBaseline`](#enable-baseline-lfc): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Aktivierung einer neuen Baseline auf einem Zielmitgliedskonto unter einer OU erfolgreich abgeschlossen hat. Der Aktivierungsvorgang kann über die `EnableBaseline` API oder die Konsole initiiert werden.
+ [`ResetEnabledBaseline`](#reset-enabled-baseline-lfc): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zum Zurücksetzen einer vorhandenen aktivierten Baseline auf einem Zielmitgliedskonto unter einer OU erfolgreich abgeschlossen hat. Der Rücksetzvorgang kann über die `ResetEnabledBaseline` API oder die Konsole initiiert werden.
+ [`UpdateEnabledBaseline`](#update-enabled-baseline-lfc): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Aktualisierung einer vorhandenen aktivierten Baseline auf einem Zielmitgliedskonto unter einer OU erfolgreich abgeschlossen hat. Der Aktualisierungsvorgang kann über die `UpdateEnabledBaseline` API oder die Konsole initiiert werden.
+ [`DisableBaseline`](#disable-baseline-lfc): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Deaktivierung einer vorhandenen aktivierten Baseline auf einem Zielmitgliedskonto unter einer OU erfolgreich abgeschlossen hat. Der Deaktivierungsvorgang kann über die `DisableBaseline` API oder die Konsole initiiert werden.
Die folgenden Abschnitte enthalten eine Liste der AWS Control Tower Tower-Lebenszyklusereignisse mit Beispielen für die Details, die für jeden Typ von Lebenszyklusereignissen protokolliert wurden.
## `CreateManagedAccount`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower erfolgreich ein neues Konto mit Account Factory erstellt und bereitgestellt hat. Dieses Ereignis entspricht dem AWS Control Tower `CreateManagedAccount` CloudTrail Tower-Ereignis. Das Lebenszyklusereignis-Protokoll enthält den `accountName` und die `accountId` des neu erstellten Kontos und den `organizationalUnitName` und die `organizationalUnitId` der Organisationseinheit, in der sich das Konto befindet.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "CreateManagedAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"createManagedAccountStatus": {
"organizationalUnit":{
"organizationalUnitName":"Custom",
"organizationalUnitId":"ou-XXXX-l3zc8b3h"
},
"account":{
"accountName":"LifeCycle1",
"accountId":"XXXXXXXXXXXX"
},
"state":"SUCCEEDED",
"message":"AWS Control Tower successfully created a managed account.",
"requestedTimestamp":"2019-11-15T11:45:18+0000",
"completedTimestamp":"2019-11-16T12:09:32+0000"}
}
}
}
```
## `UpdateManagedAccount`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower das bereitgestellte Produkt, das einem Konto zugeordnet ist, das zuvor mithilfe von Account Factory erstellt wurde, erfolgreich aktualisiert hat. Dieses Ereignis entspricht dem AWS Control Tower `UpdateManagedAccount` CloudTrail Tower-Ereignis. Das Lebenszyklusereignis-Protokoll enthält den `accountName` und die `accountId` des zugeordneten Kontos und den `organizationalUnitName` und die `organizationalUnitId` der Organisationseinheit, in der sich das aktualisierte Konto befindet.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // AWS Control Tower organization management account.
"time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateManagedAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"updateManagedAccountStatus": {
"organizationalUnit":{
"organizationalUnitName":"Custom",
"organizationalUnitId":"ou-XXXX-l3zc8b3h"
},
"account":{
"accountName":"LifeCycle1",
"accountId":"XXXXXXXXXXXX"
},
"state":"SUCCEEDED",
"message":"AWS Control Tower successfully updated a managed account.",
"requestedTimestamp":"2019-11-15T11:45:18+0000",
"completedTimestamp":"2019-11-16T12:09:32+0000"}
}
}
}
```
## `EnableGuardrail`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower erfolgreich eine Kontrolle auf einer Organisationseinheit aktiviert hat, die von AWS Control Tower verwaltet wird. Dieses Ereignis entspricht dem AWS Control Tower `EnableGuardrail` CloudTrail Tower-Ereignis. Das Lebenszyklus-Ereignisprotokoll umfasst das `guardrailId` Ende `guardrailBehavior` der Steuerung `organizationalUnitName` und das Ende `organizationalUnitId` der Organisationseinheit, auf der die Steuerung aktiviert ist.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "EnableGuardrail",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"enableGuardrailStatus": {
"organizationalUnits": [
{
"organizationalUnitName": "Custom",
"organizationalUnitId": "ou-vwxy-18vy4yro"
}
],
"guardrails": [
{
"guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK",
"guardrailBehavior": "DETECTIVE"
}
],
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.",
"requestTimestamp": "2019-11-12T09:01:07+0000",
"completedTimestamp": "2019-11-12T09:01:54+0000"
}
}
}
}
```
## `DisableGuardrail`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower erfolgreich eine Steuerung auf einer Organisationseinheit deaktiviert hat, die von AWS Control Tower verwaltet wird. Dieses Ereignis entspricht dem AWS Control Tower `DisableGuardrail` CloudTrail Tower-Ereignis. Das Lebenszyklus-Ereignisprotokoll umfasst das `guardrailId` `guardrailBehavior` Ende des Steuerelements `organizationalUnitName` und das Ende `organizationalUnitId` der Organisationseinheit, auf der das Steuerelement deaktiviert ist.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DisableGuardrail",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"disableGuardrailStatus": {
"organizationalUnits": [
{
"organizationalUnitName": "Custom",
"organizationalUnitId": "ou-vwxy-18vy4yro"
}
],
"guardrails": [
{
"guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK",
"guardrailBehavior": "DETECTIVE"
}
],
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.",
"requestTimestamp": "2019-11-12T09:01:07+0000",
"completedTimestamp": "2019-11-12T09:01:54+0000"
}
}
}
}
```
## `SetupLandingZone`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower erfolgreich eine landing zone eingerichtet hat. Dieses Ereignis entspricht dem AWS Control Tower `SetupLandingZone` CloudTrail Tower-Ereignis. Das Lebenszyklus-Ereignisprotokoll enthält die `rootOrganizationalId` ID der Organisation, die AWS Control Tower über das Verwaltungskonto erstellt. Der Protokolleintrag enthält auch das `organizationalUnitName` und `organizationalUnitId` für jedes der Konten und das OUs `accountName` und `accountId` für jedes Konto, die erstellt werden, wenn AWS Control Tower die landing zone einrichtet.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID.
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Event time from CloudTrail.
"region": "us-east-1", // Management account CloudTrail region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX", // Management-account ID.
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "SetupLandingZone",
"awsRegion": "us-east-1", // AWS Control Tower home region.
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail.
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"setupLandingZoneStatus": {
"state": "SUCCEEDED", // Status of entire lifecycle operation.
"message": "AWS Control Tower successfully set up a new landing zone.",
"rootOrganizationalId" : "r-1234",
"organizationalUnits" : [ // Use a list.
{
"organizationalUnitName": "Security", // Security OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Security OU ID.
},
{
"organizationalUnitName": "Custom", // Custom OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID.
},
],
"accounts": [ // All created accounts are here. Use a list of "account" objects.
{
"accountName": "Audit",
"accountId": "XXXXXXXXXXXX"
},
{
"accountName": "Log archive",
"accountId": "XXXXXXXXXXXX"
}
],
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `UpdateLandingZone`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower Ihre bestehende landing zone erfolgreich aktualisiert hat. Dieses Ereignis entspricht dem AWS Control Tower `UpdateLandingZone` CloudTrail Tower-Ereignis. Das Lebenszyklus-Ereignisprotokoll enthält die `rootOrganizationalId` ID der (aktualisierten) Organisation, die von AWS Control Tower verwaltet wird. Der Protokolleintrag enthält auch das `organizationalUnitName` und `organizationalUnitId` für jedes der OUs Konten und das `accountName` und `accountId` für jedes Konto, das zuvor erstellt wurde, als AWS Control Tower die landing zone ursprünglich einrichtete.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID.
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Event time from CloudTrail.
"region": "us-east-1", // Management account CloudTrail region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX", // Management account ID.
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateLandingZone",
"awsRegion": "us-east-1", // AWS Control Tower home region.
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail.
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"updateLandingZoneStatus": {
"state": "SUCCEEDED", // Status of entire operation.
"message": "AWS Control Tower successfully updated a landing zone.",
"rootOrganizationalId" : "r-1234",
"organizationalUnits" : [ // Use a list.
{
"organizationalUnitName": "Security", // Security OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Security OU ID.
},
{
"organizationalUnitName": "Custom", // Custom OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID.
},
],
"accounts": [ // All created accounts are here. Use a list of "account" objects.
{
"accountName": "Audit",
"accountId": "XXXXXXXXXXXX"
},
{
"accountName": "Log archive",
"accountId": "XXXXXXXXXX"
}
],
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `RegisterOrganizationalUnit`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower seine Governance-Funktionen auf einer Organisationseinheit erfolgreich aktiviert hat. Dieses Ereignis entspricht dem AWS Control Tower `RegisterOrganizationalUnit` CloudTrail Tower-Ereignis. Das Lifecycle-Ereignisprotokoll umfasst das `organizationalUnitName` Ende `organizationalUnitId` der Organisationseinheit, die AWS Control Tower unter seine Kontrolle gebracht hat.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "123456789012",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "RegisterOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"registerOrganizationalUnitStatus": {
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully registered an organizational unit.",
"organizationalUnit" :
{
"organizationalUnitName": "Test",
"organizationalUnitId": "ou-adpf-302pk332"
}
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `DeregisterOrganizationalUnit`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower seine Governance-Funktionen auf einer Organisationseinheit erfolgreich deaktiviert hat. Dieses Ereignis entspricht dem AWS Control Tower `DeregisterOrganizationalUnit` CloudTrail Tower-Ereignis. Das Lifecycle-Ereignisprotokoll enthält das `organizationalUnitName` Ende `organizationalUnitId` der Organisationseinheit, auf der AWS Control Tower seine Governance-Funktionen deaktiviert hat.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DeregisterOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"deregisterOrganizationalUnitStatus": {
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.",
"organizationalUnit" :
{
"organizationalUnitName": "Test", // Foundational OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID.
},
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `PrecheckOrganizationalUnit`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower erfolgreich Vorabprüfungen an einer Organisationseinheit durchgeführt hat. Dieses Ereignis entspricht dem AWS Control Tower `PrecheckOrganizationalUnit` CloudTrail Tower-Ereignis. Das Lebenszyklus-Ereignisprotokoll enthält ein Feld für die `failedPrechecks` Werte `Id``Name`, und für jede Ressource, für die AWS Control Tower während des OU-Registrierungsprozesses Vorabprüfungen durchgeführt hat.
Das Ereignisprotokoll enthält auch Informationen über die verschachtelten Konten, für die die Vorabprüfungen durchgeführt wurden, einschließlich der Felder `accountName``accountId`, und. `failedPrechecks`
Wenn der `failedPrechecks` Wert leer ist, bedeutet dies, dass alle Vorprüfungen für diese Ressource erfolgreich bestanden wurden.
+ Dieses Ereignis wird nur ausgelöst, wenn eine Vorabprüfung fehlgeschlagen ist.
+ Dieses Ereignis wird nicht ausgelöst, wenn Sie eine leere Organisationseinheit registrieren.
Beispiel für ein Ereignis:
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-09-20T22:45:43Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "PrecheckOrganizationalUnit",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"precheckOrganizationalUnitStatus": {
"organizationalUnit": {
"organizationalUnitName": "Ou-123",
"organizationalUnitId": "ou-abcd-123456",
"failedPrechecks": [
"SCP_CONFLICT"
]
},
"accounts": [
{
"accountName": "Child Account 1",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"FAILED_TO_ASSUME_ROLE"
]
},
{
"accountName": "Child Account 2",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"FAILED_TO_ASSUME_ROLE"
]
},
{
"accountName": "Management Account",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"MISSING_PERMISSIONS_AF_PRODUCT"
]
},
{
"accountName": "Child Account 3",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": []
},
...
],
"state": "FAILED",
"message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.",
"requestedTimestamp": "2021-09-20T22:44:02+0000",
"completedTimestamp": "2021-09-20T22:45:43+0000"
}
},
"eventCategory": "Management"
}
```
## `EnableBaseline`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower erfolgreich eine Baseline für ein Zielmitgliedskonto unter einer Organisationseinheit aktiviert hat. Dieses Ereignis entspricht dem AWS Control Tower `RegisterOrganizationalUnit` oder den `EnableBaseline` CloudTrail Ereignissen. Das Lifecycle-Ereignisprotokoll enthält die Baseline, die aktiviert wurde, und ihre Version, die, `targetIdentifier` auf der die Baseline aktiviert wurde, die `parentIdentifier` Baseline, die auf der übergeordneten Organisationseinheit aktiviert wurde, und die `statusSummary` Anzeige des Status SUCCEED oder FAILED sowie die zusätzlichen Parameter und den Zeitstempel des Vorgangs.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T17:14:57Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "EnableBaseline",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "366911a2-4fa6-4e4a-ac2b-280f627e0027",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"enableBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-ern76xmzvf/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-east-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "4.0",
"statusSummary": {
"lastOperationIdentifier": "37f5eb68-e5b9-4c70-ae76-4ca15f6b16de",
"status": "SUCCEEDED"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": {
"untyped": {
"object": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX" }
}
}
]
},
"requestedTimestamp": "2025-02-10T17:07:09+0000",
"completedTimestamp": "2025-02-10T17:14:57+0000"
}
},
"eventCategory": "Management"
}
```
## `ResetEnabledBaseline`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower die bestehende aktivierte Baseline auf einem Zielmitgliedskonto unter einer OU erfolgreich zurückgesetzt hat. Dieses Ereignis entspricht dem AWS Control Tower `RegisterOrganizationalUnit` oder den `ResetEnabledBaseline` CloudTrail Ereignissen. Das Lifecycle-Ereignisprotokoll enthält die Baseline, die aktiviert wurde, und ihre Version, die, `targetIdentifier` auf der die Baseline aktiviert wurde, die `parentIdentifier` Baseline, die auf der übergeordneten Organisationseinheit aktiviert wurde, und die `statusSummary` Anzeige des Status SUCCEED oder FAILED sowie die zusätzlichen Parameter und den Zeitstempel des Vorgangs.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T21:17:55Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "ResetEnabledBaseline",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "c01a32e1-13ab-4b46-8f1b-00699ef6f989",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"resetEnabledBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "3e364c89-89fa-42b8-9776-9f7cc47ba1fa",
"status": "SUCCEEDED"
},
"parameters": []
},
"requestedTimestamp": "2025-02-10T21:14:24Z",
"completedTimestamp": "2025-02-10T21:17:54+0000"
}
},
"eventCategory": "Management"
}
```
## `UpdateEnabledBaseline`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower die bestehende aktivierte Baseline auf einem Zielmitgliedskonto unter einer OU erfolgreich aktualisiert hat. Dieses Ereignis entspricht dem AWS Control Tower `RegisterOrganizationalUnit` oder den `UpdateEnabledBaseline` CloudTrail Ereignissen. Das Lifecycle-Ereignisprotokoll enthält die Baseline, die aktiviert wurde, und ihre Version, die, `targetIdentifier` auf der die Baseline aktiviert wurde, die `parentIdentifier` Baseline, die auf der übergeordneten Organisationseinheit aktiviert wurde, und die `statusSummary` Anzeige des Status SUCCEED oder FAILED sowie die zusätzlichen Parameter und den Zeitstempel des Vorgangs.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T19:45:28Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateEnabledBaseline",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "514f2aff-1a99-4912-bda1-0d4d6662c96e",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"updateEnabledBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-ern76xmzvf/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-east-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "4.0",
"statusSummary": {
"lastOperationIdentifier": "ba3de28f-83fb-4c9a-8a8c-a4e15fac2c41",
"status": "SUCCEEDED"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": {
"untyped": {
"object": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX" }
}
}
]
},
"requestedTimestamp": "2025-02-10T19:39:35+0000",
"completedTimestamp": "2025-02-10T19:45:28+0000"
}
},
"eventCategory": "Management"
}
```
## `DisableBaseline`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower die bestehende aktivierte Baseline auf einem Zielmitgliedskonto unter einer OU erfolgreich deaktiviert hat. Dieses Ereignis entspricht dem AWS Control Tower `DisableBaseline` CloudTrail Tower-Ereignis. Das Lifecycle-Ereignisprotokoll enthält die Baseline, die aktiviert wurde, und ihre Version, die Version, `targetIdentifier` auf der die Baseline aktiviert wurde, die `parentIdentifier` Baseline, die auf der übergeordneten Organisationseinheit aktiviert wurde, und die `statusSummary` Anzeige des Status SUCCEED oder FAILED sowie die zusätzlichen Parameter und den Zeitstempel des Vorgangs.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-03-14T00:50:58Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DisableBaseline",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "704794c4-a32e-4960-8386-c7efaa5a22a1",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"disableBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "7b895594-0edb-48bc-9f3d-d88c2ad618df",
"status": "SUCCEEDED"
},
"parameters": []
},
"baselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "7b895594-0edb-48bc-9f3d-d88c2ad618df",
"status": "SUCCEEDED"
},
"parameters": []
},
"requestedTimestamp": "2025-03-14T00:49:13Z",
"completedTimestamp": "2025-03-14T00:50:58+0000"
}
},
"eventCategory": "Management"
}
```