Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Types de dérive en matière de gouvernance
La dérive de la gouvernance, également appelée dérive organisationnelle, se produit lorsque les UO, les SCP et les comptes des membres sont modifiés ou mis à jour. Les types de dérive de gouvernance qui peuvent être détectés dans AWS Control Tower sont les suivants :
Dérive de la gouvernance des comptes et des unités
dérive de la zone d'atterrissage
Dérive de contrôle pour les contrôles non SCP
Dérive héritée pour les lignes de base et les contrôles
Les sections suivantes fournissent des informations détaillées sur ces types de dérive signalés par AWS Control Tower, ainsi que sur la manière de les résoudre.
Note
AWS Control Tower cessera d'envoyer des notifications de dérive à la rubrique SNS pour les clients LZ4.0 + et commencera à EventBridge envoyer des notifications de dérive au compte de gestion à la place. Pour voir des exemples d'événements et des conseils sur la façon de recevoir des notifications de dérive, EventBridge veuillez consulter la section ci-dessous sur EventBridge la création.
Dérive de la gouvernance des comptes et des unités
dérive de la zone d'atterrissage
Un autre type de dérive est la dérive de la zone d'atterrissage, qui peut être détectée via le compte de gestion. La dérive de la zone d'atterrissage consiste en une dérive des rôles IAM, ou en tout autre type de dérive organisationnelle qui affecte spécifiquement les unités d'organisation fondamentales et les comptes partagés.
Un cas particulier de dérive de la zone d'atterrissage est la dérive des rôles, qui est détectée lorsqu'un rôle requis n'est pas disponible. Si ce type de dérive se produit, la console affiche une page d'avertissement et des instructions sur la façon de restaurer le rôle. Votre zone d'atterrissage n'est pas disponible tant que la dérive des rôles n'est pas résolue. Pour plus d'informations sur la dérive des rôles, voir Ne pas supprimer les rôles obligatoires dans la section intituléeTypes de dérive à résoudre immédiatement.
Dérive de contrôle pour les contrôles non SCP
AWS Control Tower signale une dérive de contrôle concernant les contrôles mis en œuvre avec les politiques de contrôle des ressources (RCP), les politiques déclaratives et les contrôles qui font partie de la AWS Security Hub CSPM Service-managed norme : AWS Control Tower.
Dérive héritée pour les lignes de base et les contrôles
Dérive de base activée
Lorsque les configurations de référence d'un compte membre sont différentes de celles appliquées à l'unité d'organisation parent, AWS Control Tower signale une dérive d'héritage pour les lignes de base activées (configurations de ressources) sur ces unités d'organisation et ces comptes. Pour plus d'informations sur les lignes de base, consultez la section Types de lignes de base.
-
Dérive de contrôle activée
Lorsque les configurations de contrôle activées sur un compte membre sont différentes de celles appliquées à l'unité d'organisation parent, AWS Control Tower signale une dérive d'héritage pour les contrôles activés sur ces unités d'organisation et ces comptes.
Dérive non signalée
-
AWS Control Tower ne recherche aucune dérive en ce qui concerne les autres services qui fonctionnent avec le compte de gestion AWS CloudTrail, notamment Amazon CloudWatch, IAM Identity Center CloudFormation AWS Config,,, etc.
-
AWS Control Tower ne détecte pas la dérive des ressources ni aucun autre type de dérive susceptible de se produire si vous modifiez les ressources contenues dans une base de référence.
Compte de membre déplacé
Note
Pour les clients utilisant la version 4.0 ou ultérieure, AWS Control Tower n'enverra pas de notifications de changement de compte pour les comptes Account Factory qui n'en ont pas. AWSControlTowerBaseline
Ce type de dérive se produit sur le compte plutôt que sur l'unité d'organisation. Ce type de dérive peut se produire lorsqu'un compte membre d'AWS Control Tower, le compte d'audit ou le compte d'archivage des journaux est déplacé d'une unité d'organisation AWS Control Tower enregistrée vers une autre unité d'organisation. Dans de nombreux cas, vous pouvez éviter ce type de dérive en activant la fonction d'inscription automatique pour les comptes, sur la page Paramètres. Pour en savoir plus, consultez Déplacez et enregistrez des comptes grâce à l'inscription automatique.
Voici un exemple de notification de dérive lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }
Résolutions
Lorsque ce type de dérive se produit pour un compte provisionné par Account Factory dans une unité d'organisation comptant jusqu'à 1 000 comptes, vous pouvez y remédier en :
-
Accédez à la page Organisation dans la console AWS Control Tower, sélectionnez le compte, puis choisissez Mettre à jour le compte en haut à droite (option la plus rapide pour les comptes individuels).
-
Accédez à la page Organisation de la console AWS Control Tower, puis choisissez l'unité Re-registerd'organisation contenant le compte (option la plus rapide pour plusieurs comptes). Pour de plus amples informations, veuillez consulter Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower.
-
Mettre à jour le produit approvisionné dans Account Factory. Pour de plus amples informations, veuillez consulter Mettez à jour et déplacez des comptes avec AWS Control Tower.
Note
Si vous avez plusieurs comptes individuels à mettre à jour, consultez également cette méthode pour effectuer des mises à jour avec un script :Approvisionnement et mise à jour de comptes par automatisation.
-
Lorsque ce type de dérive se produit dans une unité d'organisation comportant plus de 1 000 comptes, la résolution de la dérive peut dépendre du type de compte qui a été déplacé, comme expliqué dans les paragraphes suivants. Pour de plus amples informations, veuillez consulter Mettez à jour votre zone de landing zone.
-
Si un compte approvisionné par Account Factory est déplacé : dans une unité d'organisation comptant moins de 1 000 comptes, vous pouvez résoudre le problème de dérive du compte en mettant à jour le produit approvisionné dans Account Factory, en réenregistrant l'unité d'organisation ou en mettant à jour votre zone de destination.
Dans une unité d'organisation comptant plus de 1 000 comptes, vous devez résoudre le problème en mettant à jour chaque compte déplacé, soit via la console AWS Control Tower, soit via le produit provisionné, car Re-register l'unité d'organisation n'effectuera pas la mise à jour. Pour de plus amples informations, veuillez consulter Mettez à jour et déplacez des comptes avec AWS Control Tower.
-
Si un compte partagé est déplacé : vous pouvez résoudre le problème lié au déplacement du compte d'audit ou d'archivage des journaux en mettant à jour votre zone de landing zone. Pour de plus amples informations, veuillez consulter Mettez à jour votre zone de landing zone.
-
Nom de champ obsolète
Le nom du champ MasterAccountID a été modifié conformément aux AWS directives. ManagementAccountID L'ancien nom est obsolète. Depuis 2022, les scripts contenant le nom de champ obsolète ne fonctionnent plus.
Compte de membre supprimé
Ce type de dérive peut se produire lorsqu'un compte membre est supprimé d'une unité organisationnelle enregistrée dans AWS Control Tower. L'exemple suivant montre la notification de dérive lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that the member account012345678909has been removed from organizationo-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }
Résolution
-
Lorsque ce type de dérive se produit dans un compte membre, vous pouvez y remédier en mettant à jour le compte dans la console AWS Control Tower ou dans Account Factory. Par exemple, vous pouvez ajouter le compte à une autre unité d'organisation enregistrée à l'aide de l'assistant de mise à jour d'Account Factory. Pour de plus amples informations, veuillez consulter Mettez à jour et déplacez des comptes avec AWS Control Tower.
-
Si un compte partagé est supprimé d'une UO de base, vous devez résoudre le problème en réinitialisant votre zone de landing zone. Tant que cette dérive n'est pas résolue, vous ne pourrez pas utiliser la console AWS Control Tower.
-
Pour de plus amples informations sur la résolution de la dérive pour les comptes et les UO, veuillez consulter Si vous gérez des ressources en dehors d'AWS Control Tower.
Note
Dans Service Catalog, le produit approvisionné par Account Factory qui représente le compte n'est pas mis à jour pour supprimer le compte. Au lieu de cela, le produit provisionné est affiché en tant que TAINTED et il est dans un état d'erreur. Pour effectuer le nettoyage, accédez au Service Catalog, choisissez le produit approvisionné, puis choisissez Terminate.
Mise à jour imprévue du SCP géré
Ce type de dérive peut se produire lorsqu'un SCP pour un contrôle est mis à jour dans la AWS Organizations console ou par programmation à l'aide du AWS CLI ou de l'un des kits SDK AWS. Voici un exemple de notification de dérive lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Résolution
Lorsque ce type de dérive se produit dans une unité d'organisation comportant jusqu'à 1 000 comptes, vous pouvez y remédier en :
-
Accédez à la page Organisation de la console AWS Control Tower pour réenregistrer l'unité d'organisation (option la plus rapide). Pour de plus amples informations, veuillez consulter Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower.
-
Mise à jour de votre zone d'atterrissage (option plus lente). Pour de plus amples informations, veuillez consulter Mettez à jour votre zone de landing zone.
Lorsque ce type de dérive se produit dans une unité d'organisation comportant plus de 1 000 comptes, corrigez-le en mettant à jour votre zone de landing zone. Pour de plus amples informations, veuillez consulter Mettez à jour votre zone de landing zone.
SCP détaché de l'unité d'organisation gérée
Ce type de dérive peut se produire lorsqu'un SCP d'un contrôle a été détaché d'une UO gérée par AWS Control Tower. Ce phénomène est particulièrement fréquent lorsque vous travaillez en dehors de la console AWS Control Tower. Voici un exemple de notification de dérive lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Résolution
Lorsque ce type de dérive se produit dans une unité d'organisation comportant jusqu'à 1 000 comptes, vous pouvez y remédier en :
-
Accédez à l'unité d'organisation dans la console AWS Control Tower pour réenregistrer l'unité d'organisation (option la plus rapide). Pour de plus amples informations, veuillez consulter Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower.
-
Mise à jour de votre zone d'atterrissage (option plus lente). Si la dérive affecte un contrôle obligatoire, le processus de mise à jour crée une nouvelle politique de contrôle des services (SCP) et l'attache à l'unité d'organisation pour résoudre la dérive. Pour plus d'informations sur la mise à jour de votre zone d'atterrissage, consultezMettez à jour votre zone de landing zone.
Lorsque ce type de dérive se produit dans une unité d'organisation comportant plus de 1 000 comptes, corrigez-le en mettant à jour votre zone de landing zone. Si la dérive affecte un contrôle obligatoire, le processus de mise à jour crée une nouvelle politique de contrôle des services (SCP) et l'attache à l'unité d'organisation pour résoudre la dérive. Pour plus d'informations sur la mise à jour de votre zone d'atterrissage, consultezMettez à jour votre zone de landing zone.
UO de base supprimée
Ce type de dérive s'applique uniquement aux unités d'organisation AWS Control Tower Foundational, telles que l'unité d'organisation de sécurité. Cela peut se produire si une UO de base est supprimée en dehors de la console AWS Control Tower. Les UO de base ne peuvent pas être déplacées sans créer ce type de dérive, car déplacer une UO revient à la supprimer puis à l'ajouter à un autre endroit. Lorsque vous corrigez le problème en mettant à jour votre zone de landing zone, AWS Control Tower remplace l'unité d'organisation de base à son emplacement d'origine. L'exemple suivant montre une notification de dérive que vous pouvez recevoir lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }
Résolution
Comme cette dérive ne se produit que pour les UO de base, la solution consiste à mettre à jour la zone d'atterrissage. Lorsque d'autres types d'UO sont supprimés, AWS Control Tower est automatiquement mis à jour.
Pour de plus amples informations sur la résolution de la dérive pour les comptes et les UO, veuillez consulter Si vous gérez des ressources en dehors d'AWS Control Tower.
Security Hub CSPM contrôle la dérive
Ce type de dérive se produit lorsqu'un contrôle faisant partie de la AWS Security Hub CSPM Service-Managed norme : AWS Control Tower signale un état de dérive. Le AWS Security Hub CSPM service lui-même ne signale aucun état de dérive pour ces commandes. Le service envoie plutôt ses résultats à AWS Control Tower.
Une dérive du contrôle du Security Hub CSPM peut également être détectée si AWS Control Tower n'a pas reçu de mise à jour de statut de la part de Security Hub CSPM depuis plus de 24 heures. Si ces résultats ne sont pas reçus comme prévu, AWS Control Tower vérifie que le contrôle est en dérive. L'exemple suivant montre une notification de dérive que vous pouvez recevoir lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "SH.XXXXXXX.1", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>". "Region" : "us-east-1" }
Résolution
Pour les unités d'organisation comptant moins de 1 000 comptes, la solution recommandée consiste à appeler l'ResetEnabledControlAPI pour le contrôle dérivé. Dans la console, vous pouvez sélectionner l'Re-registerunité d'organisation, qui réinitialise le contrôle à son état d'origine. Pour n'importe quelle unité d'organisation, vous pouvez également supprimer et réactiver le contrôle via la console ou les API AWS Control Tower, qui réinitialisent également le contrôle.
Pour de plus amples informations sur la résolution de la dérive pour les comptes et les UO, veuillez consulter Si vous gérez des ressources en dehors d'AWS Control Tower.
Dérivation des politiques de contrôle
Ce type de dérive se produit lorsqu'un contrôle mis en œuvre avec des politiques de contrôle des ressources (RCP) ou des politiques déclaratives signale un état de dérive. Elle renvoie un état deCONTROL_INEFFECTIVE, que vous pouvez consulter dans la console AWS Control Tower et dans le message de dérive. Le message de dérive pour ce type de dérive inclut également le message EnabledControlIdentifier pour le contrôle concerné.
Ce type de dérive n'est pas signalé pour les SCP-based commandes.
L'exemple suivant montre une notification de dérive que vous pouvez recevoir lorsque ce type de dérive est détecté.
{ "Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.", "MasterAccountId": "123456789XXX", "ManagementAccountId": "123456789XXX", "OrganizationId": "o-123EXAMPLE", "DriftType": "CONTROL_INEFFECTIVE", "RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.", "TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567", "ControlId": "CT.XXXXXXX.PV.1", "ControlName": "EBS snapshots should not be publicly restorable", "ApiControlIdentifier": "arn:aws:controlcatalog:::control/<UNIQUE_ID>", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>" }
Résolution
La solution la plus simple en cas de dérive des politiques de contrôle sur les contrôles RCP, les contrôles de politique déclaratifs et les contrôles Security Hub CSPM activés dans AWS Control Tower consiste à appeler l'API. ResetEnabledControl
Pour les unités d'organisation comptant moins de 1 000 comptes, une autre solution issue de la console ou de l'API concerne Re-registerl'unité d'organisation, qui rétablit le contrôle à son état d'origine.
Pour chaque unité d'organisation individuelle, vous pouvez supprimer et réactiver le contrôle via la console ou les API AWS Control Tower, qui réinitialisent également le contrôle.
Pour de plus amples informations sur la résolution de la dérive pour les comptes et les UO, veuillez consulter Si vous gérez des ressources en dehors d'AWS Control Tower.
Accès sécurisé désactivé
Ce type de dérive s'applique aux zones d'atterrissage d'AWS Control Tower. Cela se produit lorsque vous désactivez l'accès sécurisé à AWS Control Tower AWS Organizations après avoir configuré votre zone de landing zone AWS Control Tower.
Lorsque l'accès sécurisé est désactivé, AWS Control Tower ne reçoit plus d'événements de modification de la part de AWS Organizations. AWS Control Tower s'appuie sur ces événements de changement pour rester synchronisée AWS Organizations. Par conséquent, AWS Control Tower risque de ne pas apporter de modifications organisationnelles aux comptes et aux unités d'organisation. C'est pourquoi il est important de réenregistrer chaque UO chaque fois que vous mettez à jour votre zone de landing zone.
Exemple : notification de dérive
Voici un exemple de notification de dérive que vous recevez lorsque ce type de dérive se produit.
{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }
Résolution
AWS Control Tower vous avertit lorsque ce type de dérive se produit dans la console AWS Control Tower. La solution consiste à réinitialiser la zone d'atterrissage de votre AWS Control Tower. Pour plus d'informations, consultez la section Résolution de la dérive.
Dérive d'héritage sur les lignes de base activées
Ce type de dérive peut se produire au niveau des unités d'organisation et des comptes AWS Control Tower.
Résolution
AWS Control Tower vous avertit lorsque ce type de dérive se produit. Dans presque tous les cas de dérive d'héritage, vous recevrez une notification de dérive pour le compte d'un membre déplacé. En effet, ce type de dérive se produit généralement lorsqu'un compte a été déplacé ou qu'un compte ne parvient pas à s'inscrire.
Afficher et résoudre le problème de dérive dans la console
Dans la console AWS Control Tower, vous pouvez consulter cet état de dérive hérité dans la colonne État de référence de la page Organizations. La résolution depuis la console concerne Re-registervotre unité d'organisation ou la mise à jour de votre compte.
Afficher et résoudre la dérive par programmation
Pour afficher l'état de dérive par programmation, vous pouvez appeler l'ListEnabledBaselinesAPI pour afficher les statuts des lignes de base activées sur vos unités d'organisation. Pour afficher les statuts de comptes individuels par programmation à l'aide de l'ListEnabledBaselinesAPI, utilisez le drapeau. includeChildren
Vous pouvez résoudre ce type de dérive par programmation, en appelant l'ResetEnabledBaselineAPI.
Dérive d'héritage sur les commandes activées
Ce type de dérive peut se produire au niveau des unités d'organisation et des comptes AWS Control Tower.
Résolution
AWS Control Tower vous avertit lorsque ce type de dérive se produit. Dans presque tous les cas de dérive d'héritage, vous recevrez une notification de dérive pour le compte d'un membre déplacé. En effet, ce type de dérive se produit généralement lorsqu'un compte a été déplacé ou qu'un compte ne parvient pas à s'inscrire.
Afficher et résoudre le problème de dérive dans la console
Dans la console AWS Control Tower, vous pouvez consulter ce statut de dérive hérité sur les pages Organizations, Enabled controls et Account Details. La résolution depuis la console concerne Re-registervotre unité d'organisation ou la mise à jour de votre compte.
Afficher et résoudre la dérive par programmation
Pour afficher l'état de dérive hérité des contrôles activés par programmation, vous pouvez appeler l'ListEnabledControlsAPI pour afficher le statut des contrôles activés sur vos unités d'organisation. Pour afficher les statuts de comptes individuels par programmation à l'aide de l'ListEnabledControlsAPI, utilisez le drapeau. includeChildren
Vous pouvez résoudre ce type de dérive d'héritage par programmation, en appelant l'ResetEnabledControlAPI.
EventBridge création
Note
EventBridge est activé pour les clients LZ4.0 + uniquement.
Exemple de EventBridge format pour AWS Control Tower
{ "version": "0", "id": "cd4d811e-ab12-322b-8255-872ce65b1bc8", "detail-type": "Drift Detected", "source": "aws.controltower", "account": "111122223333", "time": "2018-03-22T00:38:11Z", "region": "us-east-1", "resources": [], "detail": { "message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "managementAccountId" : "012345678912", "organizationId" : "o-123EXAMPLE", "driftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "remediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "accountId" : "012345678909", "sourceId" : "012345678909", "destinationId" : "ou-3210-1EXAMPLE" } }
Conseils pour créer une EventBridge règle permettant de recevoir des notifications de dérive :
Pour créer une EventBridge règle pour les notifications de dérive
-
Ouvrez la EventBridge console Amazon :
-
Dans le panneau de navigation, choisissez Rules.
-
Choisissez Créer une règle.
-
Saisissez un nom et une description pour la règle.
-
Pour Type de règle, choisissez Règle avec un modèle d’événement.
-
Définissez la source de l'événement :
-
Pour « Source de l'événement », sélectionnez AWS les services comme source d'événement.
-
Pour « nom du AWS service », sélectionnez AWS Control Tower.
-
Pour « Type d'événement », sélectionnez Drift Detected
-
-
Sélectionnez la cible :
-
Pour les types de cible, choisissez un AWS service, et pour Sélectionner une cible, choisissez une cible telle qu'un sujet de notification de dérive ou une fonction Lambda. La cible est déclenchée lorsqu'un événement correspond au modèle d'événement défini dans la règle est reçu.
-
En fonction de la cible que vous avez sélectionnée, fournissez les détails de configuration nécessaires, tels que le nom de la fonction Lambda ou l'ARN de la rubrique de notification de dérive.
-
-
Vérifiez et créez la règle :
-
Passez en revue les détails de votre règle et apportez les modifications nécessaires.
-
Une fois que vous êtes satisfait, cliquez sur Créer une règle pour enregistrer la nouvelle EventBridge règle.
-
Une fois la règle créée, elle commence à surveiller les événements AWS Control Tower spécifiés et déclenche l'action cible sélectionnée lorsque des événements de dérive se produisent.