Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Elusión de la gobernanza mixta al configurar regiones
Es importante actualizar todas las cuentas de una OU después de extender la gobernanza de la Torre de Control de AWS a una nueva Región de AWS y después de eliminar la gobernanza de la Torre de Control de AWS de una región.
La gobernanza mixta es una situación no deseada que puede producirse si los controles que rigen una OU no coinciden completamente con los controles que rigen cada una de las cuentas de una OU. La gobernanza mixta se produce en una OU si las cuentas no se actualizan después de que AWS Control Tower amplíe la gobernanza a una nueva Región de AWS o la elimine.
En esta situación, es posible que determinadas cuentas de una OU tengan diferentes controles aplicados en distintas regiones, en comparación con otras cuentas de la OU o con respecto a la postura de gobernanza general de la zona de aterrizaje.
En una OU con gobernanza mixta, si aprovisiona una cuenta nueva, dicha cuenta recibe la misma postura de gobernanza de región y OU (actualizada) que la zona de aterrizaje. Sin embargo, las cuentas existentes que aún no están actualizadas no reciben la postura de gobernanza de región actualizada.
En general, la gobernanza mixta puede crear indicadores de estado contradictorios o inexactos en la consola de AWS Control Tower. Por ejemplo, durante la gobernanza mixta, las regiones optativas se muestran con el estado No gobernado, en el caso OUs de las cuentas que aún no se han actualizado.
nota
AWS Control Tower no permite habilitar controles durante un estado de gobernanza mixta.
Comportamiento de los controles durante la gobernanza mixta
-
Durante la gobernanza mixta, AWS Control Tower no puede implementar de manera coherente controles basados en AWS Config reglas (es decir, controles de detección) en regiones que la OU ya muestra como gobernadas, porque algunas cuentas de la OU no se han actualizado. Es posible que reciba un mensaje de error
FAILED_TO_ENABLE. -
Durante la gobernanza mixta, si amplía la gobernanza de la zona de aterrizaje a una región de inscripción cuando aún no se ha actualizado ninguna cuenta de la OU, la operación de la API
EnableControlen la OU fallará en los controles proactivos y de detección. Recibirá un mensaje de errorFAILED_TO_ENABLEdebido a que las cuentas de miembro no actualizadas de la OU aún no se han incluido en dichas regiones. -
Durante la gobernanza mixta, los controles que forman parte del estándar gestionado por el servicio CSPM de Security Hub: AWS Control Tower no puede informar de conformidad con precisión en las regiones en las que hay una discrepancia entre la configuración de landing zone y las cuentas que no están actualizadas.
-
La gobernanza mixta no cambia el comportamiento de los controles basados en SCP (controles preventivos) que se aplican de manera uniforme a todas las cuentas de una OU y a todas las regiones gobernadas.
nota
La gobernanza mixta no es lo mismo que la desviación, y no se notifica como tal.
Reparación de la gobernanza mixta
-
Los clientes ahora pueden corregir la gobernanza mixta restableciendo los controles regionales. Todos los controles no globales son regionales (controles de detección y proactivos). Se le avisará de que su unidad organizativa tiene un gobierno mixto a través de un banner de alerta.
