View a markdown version of this page

Resolución de desviaciones - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Resolución de desviaciones

Aunque la detección es automática, los pasos para resolver la desviación se deben realizar manualmente a través de la consola o con la APIs. (Excepto en algunos casos en los que la inscripción automática esté habilitada para las cuentas que se mueven.)

Por ejemplo, puede resolver la desviación de políticas de controles mediante programación, llamando a la API ResetEnabledControl.

Para resolver la desviación de línea de base de configuración de una UO, puede elegir Volver a registrar UO en la consola. Si el error se debe a una cuenta individual, puede elegir Actualizar cuenta en la consola. Para resolver la desviación de referencia con el APIs, puede llamar a la ResetEnabledBaselineAPI de la OU.

Resumen

  • Muchos tipos de desviación se pueden resolver a través de la página Configuración de la zona de almacenamiento. Puede pulsar el botón Restablecer en la sección Versiones para resolver estos tipos de desviación.

  • Si la OU tiene menos de 1000 cuentas, puede resolver la desviación de cuentas aprovisionadas por el generador de cuentas, o la desviación de SCP, al seleccionar Volver a registrar la OU en la página Organización o en la página Detalles de la OU.

  • Es posible que pueda resolver la desviación de cuenta, como Cuenta de miembro movida, al actualizar una cuenta individual. Para obtener más información, consulte Actualización de la cuenta en la consola.

  • En el caso de los controles, se pueden resolver muchos tipos de desviaciones llamando a la API ResetEnabledControl.

  • El desfase inicial OUs y las cuentas se pueden resolver llamando a la ResetEnabledBaselineAPI o eligiendo Volver a registrar la OU o Actualizar la cuenta en la consola de AWS Control Tower.

  • Para resolver la deriva hereditaria que se produce cuando las cuentas se trasladan de una cuenta a otra OUs, puedes habilitar la función de inscripción automática. Cuando la inscripción automática está habilitada, AWS Control Tower corrige automáticamente la desviación de la herencia al aplicar los recursos de referencia y las configuraciones de control de la OU de destino a la cuenta trasladada. Puedes habilitar la inscripción automática en la página de configuración de la zona de aterrizaje de la consola o llamando a la UpdateLandingZoneAPI con el RemediationType parámetro establecido en Inheritance Drift. Para obtener más información, consulte Movimiento e inscripción de cuentas con inscripción automática.

Cuando toma medidas para resolver la desviación en una versión de zona de aterrizaje, es posible que se produzcan dos comportamientos.

  • Si utiliza la versión más reciente de la zona de aterrizaje, al seleccionar Restablecer y luego Confirmar, los recursos de la zona de aterrizaje desviados se restablecerán a la configuración guardada de AWS Control Tower. La versión de la zona de aterrizaje sigue siendo la misma.

  • Si no dispone de la última versión, debe elegir Actualizar. La zona de aterrizaje se ha actualizado a la última versión. La desviación se resuelve como parte de este proceso.