Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Vermeiden Sie gemischte Verwaltungsstrukturen bei der Konfiguration von Regionen
Es ist wichtig, alle Konten in einer Organisationseinheit zu aktualisieren AWS-Region, nachdem Sie AWS Control Tower Governance auf eine neue erweitert und AWS Control Tower Governance aus einer Region entfernt haben.
Eine gemischte Verwaltung ist eine unerwünschte Situation, die auftreten kann, wenn die für eine Organisationseinheit geltenden Kontrollen nicht vollständig mit den Kontrollen übereinstimmen, die für jedes Konto innerhalb einer Organisationseinheit gelten. Eine gemischte Governance tritt in einer Organisationseinheit auf, wenn Konten nicht aktualisiert werden, nachdem AWS Control Tower die Governance auf eine neue AWS-Region erweitert oder die Governance aufgehoben hat.
In dieser Situation können für bestimmte Konten innerhalb einer Organisationseinheit in verschiedenen Regionen unterschiedliche Kontrollen angewendet werden, und zwar im Vergleich zu anderen Konten in der Organisationseinheit oder im Vergleich zum allgemeinen Governance-Status der Landing Zone.
Wenn Sie in einer Organisationseinheit mit gemischter Verwaltung ein neues Konto einrichten, erhält dieses neue Konto dieselbe (aktualisierte) Regions- und Organisationsstruktur wie die landing zone. Bestehende Konten, die noch nicht aktualisiert wurden, erhalten jedoch nicht den aktualisierten Status der Regionalverwaltung.
Im Allgemeinen kann eine gemischte Steuerung zu widersprüchlichen oder ungenauen Statusindikatoren in der AWS Control Tower Tower-Konsole führen. Bei gemischter Verwaltung werden Opt-in-Regionen beispielsweise für Konten, die noch nicht aktualisiert wurden, mit dem Status Nicht verwaltet (registriert OUs) angezeigt.
Anmerkung
AWS Control Tower erlaubt es nicht, Kontrollen während eines gemischten Governance-Zustands zu aktivieren.
Verhalten von Kontrollen bei gemischter Verwaltung
-
Bei gemischter Governance kann AWS Control Tower nicht konsistent Kontrollen bereitstellen, die auf AWS Config Regeln (d. h. detektivische Kontrollen) in Regionen basieren, die in der Organisationseinheit bereits als verwaltet angezeigt werden, da einige Konten in der Organisationseinheit nicht aktualisiert wurden. Möglicherweise erhalten Sie eine
FAILED_TO_ENABLEFehlermeldung. -
Wenn Sie bei gemischter Governance die Governance der Landing Zone auf eine Opt-in-Region ausdehnen, während ein Konto in der Organisationseinheit noch nicht aktualisiert wurde, schlägt der
EnableControlAPI-Betrieb auf der Organisationseinheit für detektive und proaktive Kontrollen fehl. Sie erhalten eineFAILED_TO_ENABLEFehlermeldung, da nicht aktualisierte Mitgliedskonten innerhalb der Organisationseinheit noch nicht für diese Regionen zugelassen wurden. -
Bei gemischter Verwaltung können Kontrollen, die Teil des Security Hub CSPM Service-Managed Standard sind: AWS Control Tower in Regionen, in denen eine Diskrepanz zwischen der Konfiguration der landing zone und den Konten besteht, die nicht aktualisiert werden, nicht korrekt melden.
-
Eine gemischte Verwaltung ändert nichts am Verhalten von SCP-basierten Kontrollen (präventive Kontrollen), die einheitlich für jedes Konto in einer Organisationseinheit und in jeder kontrollierten Region gelten.
Anmerkung
Eine gemischte Unternehmensführung ist nicht dasselbe wie Drift, und sie wird auch nicht als Drift gemeldet.
Um gemischte Regierungsführung zu reparieren
-
Kunden sind nun in der Lage, gemischte Verwaltungsstrukturen zu beheben, indem sie die regionalen Kontrollen zurücksetzen. Alle nicht globalen Kontrollen sind regional (detektive und proaktive Kontrollen). Sie werden durch ein Warnbanner darauf hingewiesen, dass sich Ihre Organisationseinheit in einer gemischten Verwaltung befindet.
