Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Types de dérive en matière de gouvernance
La dérive de la gouvernance, également appelée dérive organisationnelle, se produit lorsque OUs SCPs, et les comptes des membres sont modifiés ou mis à jour. Les types de dérive en matière de gouvernance qui peuvent être détectés dans AWS Control Tower sont les suivants :
Dérive de la gouvernance des comptes et des unités
dérive de la zone d'atterrissage
Dérive de contrôle pour les contrôles non SCP
Dérive héritée pour les lignes de base et les contrôles
Les sections suivantes fournissent des informations détaillées sur ces types de dérive signalés par AWS Control Tower, ainsi que sur la manière de les résoudre.
Note
AWS Control Tower cessera d'envoyer des notifications de dérive à la rubrique SNS pour les clients de LZ4 plus de 0 ans et commencera à envoyer des notifications de dérive au compte de gestion EventBridge à la place. Pour voir des exemples d'événements et des conseils sur la façon de recevoir des notifications de dérive, EventBridge veuillez consulter la section ci-dessous sur EventBridge la création.
Dérive de la gouvernance des comptes et des unités
dérive de la zone d'atterrissage
Un autre type de dérive est la dérive de la zone d'atterrissage, qui peut être détectée via le compte de gestion. La dérive de la zone d'atterrissage correspond à la dérive des rôles IAM, ou à tout type de dérive organisationnelle qui affecte spécifiquement les comptes fondamentaux OUs et partagés.
Un cas particulier de dérive de la zone d'atterrissage est la dérive des rôles, qui est détectée lorsqu'un rôle requis n'est pas disponible. Si ce type de dérive se produit, la console affiche une page d'avertissement ainsi que des instructions sur la façon de restaurer le rôle. Votre zone d'atterrissage n'est pas disponible tant que la dérive des rôles n'est pas résolue. Pour plus d'informations sur la dérive des rôles, voir Ne pas supprimer les rôles obligatoires dans la section intituléeTypes de dérive à résoudre immédiatement.
Dérive de contrôle pour les contrôles non SCP
AWS Control Tower signale une dérive de contrôle concernant les contrôles mis en œuvre avec des politiques de contrôle des ressources (RCPs), des politiques déclaratives et des contrôles qui font partie de la norme de AWS Security Hub CSPM gestion des services : AWS Control Tower.
Dérive héritée pour les lignes de base et les contrôles
Dérive de base activée
Lorsque les configurations de référence d'un compte membre sont différentes de celles appliquées à l'unité d'organisation parent, AWS Control Tower signale une dérive de l'héritage pour les lignes de base activées (configurations de ressources) sur ces lignes de base OUs et sur les comptes. Pour plus d'informations sur les lignes de base, consultez la section Types de lignes de base.
-
Dérive de contrôle activée
Lorsque les configurations de contrôle activées sur un compte membre sont différentes de celles appliquées à l'unité d'organisation parent, AWS Control Tower signale une dérive de l'héritage pour les contrôles activés sur ces derniers OUs et sur les comptes.
Dérive qui n'est pas signalée
-
AWS Control Tower ne recherche aucune dérive en ce qui concerne les autres services qui fonctionnent avec le compte de gestion AWS CloudTrail, notamment Amazon CloudWatch, IAM Identity Center CloudFormation AWS Config,,, etc.
-
AWS Control Tower ne détecte pas la dérive des ressources ni aucun autre type de dérive susceptible de se produire si vous modifiez les ressources contenues dans une base de référence.
Compte de membre déplacé
Note
Pour les clients utilisant la version 4.0 ou ultérieure, AWS Control Tower n'enverra pas de notifications de changement de compte pour les comptes Account Factory qui n'en ont pas. AWSControl TowerBaseline
Ce type de dérive se produit sur le compte plutôt que sur l'unité d'organisation. Ce type de dérive peut se produire lorsqu'un compte membre d'AWS Control Tower, le compte d'audit ou le compte d'archivage des journaux est déplacé d'une unité d'organisation AWS Control Tower enregistrée vers une autre unité d'organisation. Dans de nombreux cas, vous pouvez éviter ce type de dérive en activant la fonction d'inscription automatique pour les comptes, sur la page Paramètres. Pour en savoir plus, consultez Déplacez et enregistrez des comptes grâce à l'inscription automatique.
Voici un exemple de notification de dérive lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }
Résolutions
Lorsque ce type de dérive se produit pour un compte provisionné par Account Factory dans une unité d'organisation comptant jusqu'à 1 000 comptes, vous pouvez y remédier en :
-
Accédez à la page Organisation dans la console AWS Control Tower, sélectionnez le compte, puis choisissez Mettre à jour le compte en haut à droite (option la plus rapide pour les comptes individuels).
-
Accédez à la page Organisation dans la console AWS Control Tower, puis sélectionnez Ré-enregistrer pour l'unité d'organisation contenant le compte (option la plus rapide pour plusieurs comptes). Pour de plus amples informations, veuillez consulter Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower.
-
Mettre à jour le produit approvisionné dans Account Factory. Pour de plus amples informations, veuillez consulter Mettez à jour et déplacez des comptes avec AWS Control Tower.
Note
Si vous avez plusieurs comptes individuels à mettre à jour, consultez également cette méthode pour effectuer des mises à jour avec un script :Fournir et mettre à jour des comptes à l'aide de l'automatisation.
-
Lorsque ce type de dérive se produit dans une unité d'organisation comportant plus de 1 000 comptes, la résolution de la dérive peut dépendre du type de compte qui a été déplacé, comme expliqué dans les paragraphes suivants. Pour de plus amples informations, veuillez consulter Mettez à jour votre zone de landing zone.
-
Si un compte approvisionné par Account Factory est déplacé : dans une unité d'organisation comptant moins de 1 000 comptes, vous pouvez résoudre le problème de dérive du compte en mettant à jour le produit approvisionné dans Account Factory, en réenregistrant l'unité d'organisation ou en mettant à jour votre zone de destination.
Dans une unité d'organisation comptant plus de 1 000 comptes, vous devez résoudre le problème en mettant à jour chaque compte déplacé, soit par le biais de la console AWS Control Tower, soit par le biais du produit provisionné, car le fait de réenregistrer l'unité d'organisation n'effectuera pas la mise à jour. Pour de plus amples informations, veuillez consulter Mettez à jour et déplacez des comptes avec AWS Control Tower.
-
Si un compte partagé est déplacé : vous pouvez résoudre le problème lié au déplacement du compte d'audit ou d'archivage des journaux en mettant à jour votre zone de landing zone. Pour de plus amples informations, veuillez consulter Mettez à jour votre zone de landing zone.
-
Nom de champ obsolète
Le nom du champ MasterAccountID a été modifié conformément aux AWS directives. ManagementAccountID L'ancien nom est obsolète. Depuis 2022, les scripts contenant le nom de champ obsolète ne fonctionnent plus.
Compte de membre supprimé
Ce type de dérive peut se produire lorsqu'un compte membre est supprimé d'une unité organisationnelle AWS Control Tower enregistrée. L'exemple suivant montre la notification de dérive lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that the member account012345678909has been removed from organizationo-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }
Résolution
-
Lorsque ce type de dérive se produit dans un compte membre, vous pouvez y remédier en mettant à jour le compte dans la console AWS Control Tower ou dans Account Factory. Par exemple, vous pouvez ajouter le compte à une autre unité d'organisation enregistrée à l'aide de l'assistant de mise à jour d'Account Factory. Pour de plus amples informations, veuillez consulter Mettez à jour et déplacez des comptes avec AWS Control Tower.
-
Si un compte partagé est supprimé d'une UO de base, vous devez résoudre le problème en réinitialisant votre zone de landing zone. Tant que cette dérive n'est pas résolue, vous ne pourrez pas utiliser la console AWS Control Tower.
-
Pour plus d'informations sur la résolution de la dérive pour les comptes OUs, voirSi vous gérez des ressources en dehors d'AWS Control Tower.
Note
Dans Service Catalog, le produit approvisionné par Account Factory qui représente le compte n'est pas mis à jour pour supprimer le compte. Au lieu de cela, le produit provisionné est affiché en tant que TAINTED et il est dans un état d'erreur. Pour effectuer le nettoyage, accédez au Service Catalog, choisissez le produit approvisionné, puis choisissez Terminate.
Mise à jour imprévue vers le SCP géré
Ce type de dérive peut se produire lorsqu'un SCP pour un contrôle est mis à jour dans la AWS Organizations console ou par programmation à l'aide du AWS CLI ou de l'un des AWS. SDKs Voici un exemple de notification de dérive lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Résolution
Lorsque ce type de dérive se produit dans une unité d'organisation comportant jusqu'à 1 000 comptes, vous pouvez y remédier en :
-
Accédez à la page Organisation de la console AWS Control Tower pour réenregistrer l'unité d'organisation (option la plus rapide). Pour de plus amples informations, veuillez consulter Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower.
-
Mise à jour de votre zone d'atterrissage (option plus lente). Pour de plus amples informations, veuillez consulter Mettez à jour votre zone de landing zone.
Lorsque ce type de dérive se produit dans une unité d'organisation comportant plus de 1 000 comptes, corrigez-le en mettant à jour votre zone de landing zone. Pour de plus amples informations, veuillez consulter Mettez à jour votre zone de landing zone.
SCP détaché de l'unité d'organisation gérée
Ce type de dérive peut se produire lorsqu'un SCP d'un contrôle a été détaché d'une UO gérée par AWS Control Tower. Ce phénomène est particulièrement fréquent lorsque vous travaillez en dehors de la console AWS Control Tower. Voici un exemple de notification de dérive lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Résolution
Lorsque ce type de dérive se produit dans une unité d'organisation comportant jusqu'à 1 000 comptes, vous pouvez y remédier en :
-
Accédez à l'unité d'organisation dans la console AWS Control Tower pour réenregistrer l'unité d'organisation (option la plus rapide). Pour de plus amples informations, veuillez consulter Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower.
-
Mise à jour de votre zone d'atterrissage (option plus lente). Si la dérive affecte un contrôle obligatoire, le processus de mise à jour crée une nouvelle politique de contrôle des services (SCP) et l'attache à l'UO pour résoudre la dérive. Pour plus d'informations sur la mise à jour de votre zone d'atterrissage, consultezMettez à jour votre zone de landing zone.
Lorsque ce type de dérive se produit dans une unité d'organisation comportant plus de 1 000 comptes, corrigez-le en mettant à jour votre zone de landing zone. Si la dérive affecte un contrôle obligatoire, le processus de mise à jour crée une nouvelle politique de contrôle des services (SCP) et l'attache à l'UO pour résoudre la dérive. Pour plus d'informations sur la mise à jour de votre zone d'atterrissage, consultezMettez à jour votre zone de landing zone.
UO de base supprimée
Ce type de dérive s'applique uniquement à AWS Control Tower Foundational OUs, tel que l'unité d'organisation de sécurité. Cela peut se produire si une UO de base est supprimée en dehors de la console AWS Control Tower. Il est OUs impossible de déplacer Foundational sans créer ce type de dérive, car déplacer une UO revient à la supprimer puis à l'ajouter ailleurs. Lorsque vous corrigez le problème en mettant à jour votre zone de landing zone, AWS Control Tower remplace l'unité d'organisation de base à son emplacement d'origine. L'exemple suivant montre une notification de dérive que vous pouvez recevoir lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }
Résolution
Comme cette dérive ne se produit OUs que pour Foundational, la résolution est de mettre à jour la zone d'atterrissage. Lorsque d'autres types de OUs fichiers sont supprimés, AWS Control Tower est automatiquement mis à jour.
Pour plus d'informations sur la résolution de la dérive pour les comptes OUs, voirSi vous gérez des ressources en dehors d'AWS Control Tower.
Security Hub CSPM contrôle la dérive
Ce type de dérive se produit lorsqu'un contrôle faisant partie du AWS Security Hub CSPM Service Managed Standard : AWS Control Tower signale un état de dérive. Le AWS Security Hub CSPM service lui-même ne signale aucun état de dérive pour ces commandes. Le service envoie plutôt ses résultats à AWS Control Tower.
Une dérive du contrôle du Security Hub CSPM peut également être détectée si AWS Control Tower n'a pas reçu de mise à jour de statut de la part du Security Hub CSPM depuis plus de 24 heures. Si ces résultats ne sont pas reçus comme prévu, AWS Control Tower vérifie que le contrôle est en dérive. L'exemple suivant montre une notification de dérive que vous pouvez recevoir lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "SH.XXXXXXX.1", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>". "Region" : "us-east-1" }
Résolution
Pour OUs les comptes de moins de 1 000, la solution recommandée est d'appeler l'ResetEnabledControlAPI pour le contrôle dérivé. Dans la console, vous pouvez sélectionner Réenregistrer pour l'unité d'organisation, ce qui réinitialise le contrôle à son état d'origine. Pour n'importe quelle unité d'organisation, vous pouvez également supprimer et réactiver le contrôle par le biais de la console ou de l'AWS Control Tower APIs, qui réinitialise également le contrôle.
Pour plus d'informations sur la résolution de la dérive pour les comptes OUs, voirSi vous gérez des ressources en dehors d'AWS Control Tower.
Dérivation des politiques de contrôle
Ce type de dérive se produit lorsqu'un contrôle implémenté avec des politiques de contrôle des ressources (RCPs) ou des politiques déclaratives signale un état de dérive. Elle renvoie un état deCONTROL_INEFFECTIVE, que vous pouvez consulter dans la console AWS Control Tower et dans le message de dérive. Le message de dérive pour ce type de dérive inclut également le message EnabledControlIdentifier pour le contrôle concerné.
Ce type de dérive n'est pas signalé pour les contrôles basés sur les SCP.
L'exemple suivant montre une notification de dérive que vous pouvez recevoir lorsque ce type de dérive est détecté.
{ "Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.", "MasterAccountId": "123456789XXX", "ManagementAccountId": "123456789XXX", "OrganizationId": "o-123EXAMPLE", "DriftType": "CONTROL_INEFFECTIVE", "RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.", "TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567", "ControlId": "CT.XXXXXXX.PV.1", "ControlName": "EBS snapshots should not be publicly restorable", "ApiControlIdentifier": "arn:aws:controlcatalog:::control/<UNIQUE_ID>", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>" }
Résolution
La solution la plus simple en cas de dérive des politiques de contrôle sur les contrôles RCP, les contrôles de politique déclaratifs et les contrôles Security Hub CSPM activés dans AWS Control Tower consiste à appeler l'API. ResetEnabledControl
Pour OUs les comptes de moins de 1 000 comptes, une autre solution proposée par la console ou l'API consiste à réenregistrer l'unité d'organisation, ce qui rétablit le contrôle à son état d'origine.
Pour chaque unité d'organisation individuelle, vous pouvez supprimer et réactiver le contrôle via la console ou l'AWS Control Tower APIs, qui réinitialise également le contrôle.
Pour plus d'informations sur la résolution de la dérive pour les comptes OUs, voirSi vous gérez des ressources en dehors d'AWS Control Tower.
Accès sécurisé désactivé
Ce type de dérive s'applique aux zones d'atterrissage d'AWS Control Tower. Cela se produit lorsque vous désactivez l'accès sécurisé à AWS Control Tower AWS Organizations après avoir configuré votre zone de landing zone AWS Control Tower.
Lorsque l'accès sécurisé est désactivé, AWS Control Tower ne reçoit plus d'événements de modification de la part de AWS Organizations. AWS Control Tower s'appuie sur ces événements de changement pour rester synchronisée AWS Organizations. Par conséquent, AWS Control Tower risque de ne pas apporter de modifications organisationnelles aux comptes et OUs. C'est pourquoi il est important de réenregistrer chaque UO chaque fois que vous mettez à jour votre zone de landing zone.
Exemple : notification de dérive
Voici un exemple de notification de dérive que vous recevez lorsque ce type de dérive se produit.
{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }
Résolution
AWS Control Tower vous avertit lorsque ce type de dérive se produit dans la console AWS Control Tower. La solution consiste à réinitialiser la zone d'atterrissage de votre AWS Control Tower. Pour plus d'informations, consultez la section Résolution de la dérive.
Dérive d'héritage sur les lignes de base activées
Ce type de dérive peut affecter AWS Control Tower OUs et ses comptes.
Résolution
AWS Control Tower vous avertit lorsque ce type de dérive se produit. Dans presque tous les cas de dérive d'héritage, vous recevrez une notification de dérive pour le compte de membre déplacé. En effet, ce type de dérive se produit généralement lorsqu'un compte a été déplacé ou qu'un compte ne parvient pas à s'inscrire.
Afficher et résoudre le problème de dérive dans la console
Dans la console AWS Control Tower, vous pouvez consulter cet état de dérive hérité dans la colonne État de référence de la page Organizations. La solution depuis la console est de réenregistrer votre unité d'organisation ou de mettre à jour votre compte.
Afficher et résoudre la dérive par programmation
Pour afficher l'état de dérive par programmation, vous pouvez appeler l'ListEnabledBaselinesAPI pour afficher les statuts des lignes de base activées sur votre. OUs Pour afficher les statuts de comptes individuels par programmation à l'aide de l'ListEnabledBaselinesAPI, utilisez le drapeau. includeChildren
Vous pouvez résoudre ce type de dérive par programmation, en appelant l'ResetEnabledBaselineAPI.
Dérive d'héritage sur les commandes activées
Ce type de dérive peut affecter AWS Control Tower OUs et ses comptes.
Résolution
AWS Control Tower vous avertit lorsque ce type de dérive se produit. Dans presque tous les cas de dérive d'héritage, vous recevrez une notification de dérive pour le compte de membre déplacé. En effet, ce type de dérive se produit généralement lorsqu'un compte a été déplacé ou qu'un compte ne parvient pas à s'inscrire.
Afficher et résoudre le problème de dérive dans la console
Dans la console AWS Control Tower, vous pouvez consulter ce statut de dérive hérité sur les pages Organizations, Enabled controls et Account Details. La solution depuis la console est de réenregistrer votre unité d'organisation ou de mettre à jour votre compte.
Afficher et résoudre la dérive par programmation
Pour afficher l'état de dérive hérité des contrôles activés par programmation, vous pouvez appeler l'ListEnabledControlsAPI pour afficher le statut des contrôles activés sur votre. OUs Pour afficher les statuts de comptes individuels par programmation à l'aide de l'ListEnabledControlsAPI, utilisez le drapeau. includeChildren
Vous pouvez résoudre ce type de dérive d'héritage par programmation, en appelant l'ResetEnabledControlAPI.
EventBridge création
Note
EventBridge est activé pour les clients de la LZ4 version 0 et plus uniquement.
Exemple de EventBridge format pour AWS Control Tower
{ "version": "0", "id": "cd4d811e-ab12-322b-8255-872ce65b1bc8", "detail-type": "Drift Detected", "source": "aws.controltower", "account": "111122223333", "time": "2018-03-22T00:38:11Z", "region": "us-east-1", "resources": [], "detail": { "message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "managementAccountId" : "012345678912", "organizationId" : "o-123EXAMPLE", "driftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "remediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "accountId" : "012345678909", "sourceId" : "012345678909", "destinationId" : "ou-3210-1EXAMPLE" } }
Conseils pour créer une EventBridge règle permettant de recevoir des notifications de dérive :
Pour créer une EventBridge règle pour les notifications de dérive
-
Ouvrez la EventBridge console Amazon :
-
Dans le panneau de navigation, choisissez Rules.
-
Choisissez Créer une règle.
-
Saisissez un nom et une description pour la règle.
-
Pour Type de règle, choisissez Règle avec un modèle d’événement.
-
Définissez la source de l'événement :
-
Pour « Source de l'événement », sélectionnez AWS les services comme source d'événement.
-
Pour « nom du AWS service », sélectionnez AWS Control Tower.
-
Pour « Type d'événement », sélectionnez Drift Detected
-
-
Sélectionnez la cible :
-
Pour les types de cible, choisissez un AWS service, et pour Sélectionner une cible, choisissez une cible telle qu'un sujet de notification de dérive ou une fonction Lambda. La cible est déclenchée lorsqu'un événement correspond au modèle d'événement défini dans la règle est reçu.
-
Selon la cible que vous avez sélectionnée, fournissez les détails de configuration nécessaires, tels que le nom de la fonction Lambda ou l'ARN de la rubrique de notification de dérive.
-
-
Révisez et créez la règle :
-
Passez en revue les détails de votre règle et apportez les modifications nécessaires.
-
Une fois que vous êtes satisfait, cliquez sur Créer une règle pour enregistrer la nouvelle EventBridge règle.
-
Une fois la règle créée, elle commence à surveiller les événements AWS Control Tower spécifiés et déclenche l'action cible sélectionnée lorsque des événements de dérive se produisent.
