Detección y resolución de desviaciones en AWS Control Tower - AWS Control Tower
Detección de desviaciónConsideraciones sobre los análisis de desviación y políticasTipos de desviación que se deben resolver de inmediatoCambios reparables en los recursosDesviación y aprovisionamiento de nuevas cuentas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Detección y resolución de desviaciones en AWS Control Tower

Identificar y resolver la desviación es una tarea de operaciones habitual para los administradores de cuentas principales de AWS Control Tower. La resolución de la desviación contribuye a garantizar la conformidad con los requisitos de gobernanza.

Cuando creas tu landing zone, la zona de aterrizaje y todas las unidades organizativas (OUs), cuentas y recursos cumplen con las normas de gobierno aplicadas por los controles que hayas elegido. A medida que usted y los miembros de la organización utilicen la zona de aterrizaje, pueden producirse cambios en este estado de cumplimiento. Algunos cambios pueden ser accidentales, mientras que otros pueden realizarse a propósito para dar respuesta a eventos operativos en los que el tiempo es crucial.

La detección de la desviación ayuda a identificar recursos que necesitan cambios o actualizaciones de configuración para resolver la desviación.

Detección de desviación

AWS Control Tower detecta la desviación automáticamente. Para detectar la desviación, el rol AWSControlTowerAdmin requiere un acceso permanente a la cuenta de administración para que AWS Control Tower pueda realizar llamadas a la API de solo lectura a AWS Organizations. Estas llamadas a la API se muestran como eventos de AWS CloudTrail.

Para una cuenta de miembro, la desviación aparece en las notificaciones de Amazon Simple Notification Service (Amazon SNS) que se agregan a la cuenta de auditoría. Las notificaciones de cada cuenta de miembro envían alertas a un tema de Amazon SNS local y a una función de Lambda.

nota

Cuando la función de inscripción automática de cuentas está habilitada en Configuración, estas notificaciones de SNS no están disponibles.

En el caso de los controles que forman parte del AWS Security Hub CSPMestándar gestionado por servicios: AWS Control Tower, los cambios se muestran en las páginas Cuenta y Detalles de la cuenta de la consola de AWS Control Tower, así como mediante una notificación de Amazon SNS.

Los administradores de cuentas de miembro pueden (y, como práctica recomendada, deben) suscribirse a las notificaciones de desviación de SNS para cuentas específicas. Por ejemplo, el tema de SNS aws-controltower-AggregateSecurityNotifications proporciona notificaciones de la desviación. La consola de AWS Control Tower indica a los administradores de cuentas de administración cuándo se ha producido una desviación. Para obtener más información sobre los temas de SNS relacionados con la detección y notificación de desviaciones, consulte Drift prevention and notification.

Deduplicación de notificaciones de desviación

Si se produce el mismo tipo de desviación en el mismo conjunto de recursos varias veces, AWS Control Tower envía una notificación de SNS solo para la instancia inicial de desviación. Si AWS Control Tower detecta que esta instancia de desviación se ha corregido, envía otra notificación solo si la desviación vuelve a producirse en los mismos recursos.

Ejemplo: La desviación de SCP se administra de la siguiente manera

  • Si modifica la misma SCP administrada varias veces, recibirá una notificación la primera vez que la modifique.

  • Si modifica una SCP administrada, corrige la desviación y vuelve a modificarla, recibirá dos notificaciones.

Tipos de desviación de cuenta
nota

Al trasladar una cuenta de una OU a otra, no se eliminan los controles de la OU anterior. Si habilita cualquier control nuevo basado en enlaces en la OU de destino, el control antiguo basado en enlaces se elimina de la cuenta y el nuevo control lo reemplaza. Los controles implementados con AWS Config las reglas SCPs y las reglas siempre deben eliminarse manualmente cuando se cambia una cuenta OUs.

Ejemplos de desviación de políticas

  • SCP actualizada

  • SCP separada de la OU

Para obtener más información, consulte Types of Governance Drift.

Consideraciones sobre los análisis de desviación y políticas

AWS Control Tower analiza sus políticas SCPs RCPs administradas y declarativas a diario para comprobar que los controles correspondientes se aplican correctamente y que no se han desviado. Para recuperar estos recursos y comprobarlos, AWS Control Tower llama AWS Organizations en su nombre utilizando un rol en su cuenta de administración.

Si un análisis de AWS Control Tower detecta una desviación, recibirá una notificación. AWS Control Tower solo envía una notificación por problema de desviación, por lo que si la zona de aterrizaje ya se encuentra en un estado de desviación, no recibirá notificaciones adicionales a menos que encuentre un nuevo elemento de desviación.

AWS Organizations limita la frecuencia con la que se APIs puede llamar a cada uno de ellos. Este límite se expresa en transacciones por segundo (TPS) y se conoce como límite de TPS, tasa de limitación o tasa de solicitud de la API. Cuando AWS Control Tower audita sus SCPs políticas declarativas y las de Declarative mediante una llamada AWS Organizations, las llamadas a la API que realiza AWS Control Tower se tienen en cuenta para su límite de TPS, ya que AWS Control Tower utiliza la cuenta de administración para realizar las llamadas. RCPs

En raras ocasiones, este límite se puede alcanzar si llama a la misma persona APIs varias veces, ya sea a través de una solución de terceros o de un script personalizado creado por usted. Por ejemplo, si usted y la Torre de Control de AWS llaman AWS Organizations APIs al mismo tiempo (en menos de 1 segundo) y se alcanzan los límites de TPS, las llamadas posteriores se limitan. Es decir, estas llamadas devuelven el siguiente error: Rate exceeded.

Si se supera la tasa de solicitud de la API

  • Si AWS Control Tower alcanza el límite y se limita, pausaremos la ejecución de la auditoría y la reanudaremos más adelante.

  • Si la carga de trabajo alcanza el límite y se limita, el resultado puede variar desde una latencia leve hasta un error grave en la carga de trabajo, en función de cómo esté configurada la carga de trabajo. Este caso extremo es algo que hay que tener en cuenta.

Un análisis de SCP diario consiste en

  1. Recuperando su actividad reciente. OUs

  2. Para cada unidad organizativa registrada, se SCPs recuperan todas las administradas por AWS Control Tower que estén conectadas a la unidad organizativa. SCPs Los administradores tienen identificadores que comienzan por. aws-guardrails

  3. Para cada control preventivo habilitado en la OU, se verifica que la declaración de política del control esté presente en la OU gestionada. SCPs

Una OU puede tener uno o más gestionados SCPs.

Tipos de desviación que se deben resolver de inmediato

Los administradores pueden resolver la mayoría de los tipos de desviación. Algunos tipos de desviación deben resolverse inmediatamente, incluida la eliminación de una unidad organizativa que requiere la zona de aterrizaje de AWS Control Tower. Estos son algunos ejemplos de desviaciones importantes que conviene evitar:

  • No eliminar la OU de seguridad: no se debe eliminar la unidad organizativa denominada originalmente seguridad durante la configuración de la zona de aterrizaje por AWS Control Tower. Si la elimina, aparecerá un mensaje de error con instrucciones para restablecer la zona de aterrizaje inmediatamente. No podrá realizar ninguna otra acción en AWS Control Tower hasta que se complete la el restablecimiento.

  • No elimine las funciones obligatorias: AWS Control Tower comprueba determinadas funciones AWS Identity and Access Management(de IAM) al iniciar sesión en la consola para detectar la desviación de funciones de IAM. Si faltan estos roles o no se puede acceder a ellos, verá una página de error con instrucciones para restablecer la zona de aterrizaje. Estos roles son AWSControlTowerAdmin, AWSControlTowerCloudTrailRole y AWSControlTowerStackSetRole.

    Para obtener más información sobre estos roles, consulte Permisos necesarios para utilizar la consola de AWS Control Tower.

  • No elimine todo lo adicional OUs: se necesita al menos una unidad organizativa adicional para que AWS Control Tower funcione, pero no tiene que ser la unidad organizativa Sandbox.

  • No elimine las cuentas compartidas: si elimina las cuentas compartidas de Foundational OUs con la AWS Organizations consola o APIs, por ejemplo, si elimina la cuenta de registro de la OU de seguridad. Al mover estas cuentas, se genera un tipo de desviación Mover cuenta que debe subsanarse. Para corregir este tipo de desviación, debe actualizar la zona de aterrizaje.

nota

Como práctica recomendada, no mueva estas cuentas compartidas fuera de la UO fundamental.

Cambios reparables en los recursos

Aquí hay una lista de cambios en los recursos de AWS Control Tower que están permitidos, aunque crean una desviación que se puede resolver. Los resultados de estas operaciones permitidas se pueden ver en la consola de AWS Control Tower, aunque es posible que se requiera una actualización.

Para obtener más información acerca de cómo resolver la desviación resultante, consulte Managing Resources Outside of AWS Control Tower.

Cambios permitidos fuera de la consola de AWS Control Tower

  • Cambio del nombre de una OU registrada.

  • Cambio del nombre de la OU de seguridad.

  • Cambia el nombre de las cuentas de los miembros en OUs Non-Foundational.

  • Cambio del nombre de las cuentas compartidas de AWS Control Tower en la OU de seguridad.

  • Eliminación de una OU no fundamental.

  • Eliminación de una cuenta inscrita de una OU no fundamental.

  • Cambio de la dirección de correo electrónico de una cuenta compartida en la OU de seguridad.

  • Cambio de la dirección de correo electrónico de una cuenta de miembro en una OU registrada.

nota

El traslado de cuentas de una otra a otra OUs se considera una deriva y debe resolverse.

Desviación y aprovisionamiento de nuevas cuentas

Si la zona de aterrizaje se encuentra en un estado de desviación, la característica Inscribir cuenta en AWS Control Tower no funcionará. En ese caso, debe aprovisionar nuevas cuentas a través de AWS Service Catalog. Para obtener instrucciones, consulte Aprovisione cuentas en la consola de Service Catalog con Account Factory. .

En particular, si ha realizado cambios en las cuentas mediante Service Catalog, por ejemplo, cambiar el nombre de la cartera, la característica Inscribir cuenta no funcionará.