Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Jenis penyimpangan tata kelola
Pergeseran tata kelola, juga disebut penyimpangan organisasi terjadi ketika OUs, SCPs, dan akun anggota diubah atau diperbarui. Jenis drift tata kelola yang dapat dideteksi di AWS Control Tower adalah sebagai berikut:
Pergeseran akun dan tata kelola OU
Zona pendaratan melayang
Kontrol drift untuk kontrol non-SCP
Penyimpangan warisan untuk garis dasar dan kontrol
Bagian selanjutnya memberikan detail tentang jenis drift yang dilaporkan AWS Control Tower, dan cara mengatasinya.
catatan
AWS Control Tower akan berhenti mengirim notifikasi drift ke topik SNS untuk LZ4 0,0+ pelanggan dan akan mulai mengirim notifikasi drift ke akun manajemen EventBridge . Untuk melihat contoh peristiwa dan panduan tentang cara menerima pemberitahuan drift melalui, EventBridge silakan lihat bagian di bawah ini tentang EventBridge pembuatan.
Pergeseran akun dan tata kelola OU
Zona pendaratan melayang
Jenis drift lainnya adalah landing zone drift, yang dapat ditemukan melalui akun manajemen. Pergeseran zona pendaratan terdiri dari penyimpangan peran IAM, atau jenis penyimpangan organisasi apa pun yang secara khusus memengaruhi akun OUs Foundational dan bersama.
Kasus khusus drift landing zone adalah role drift, yang terdeteksi ketika peran yang diperlukan tidak tersedia. Jika jenis penyimpangan ini terjadi, konsol menampilkan halaman peringatan dan beberapa instruksi tentang cara mengembalikan peran. Landing zone Anda tidak tersedia sampai drift peran diselesaikan. Untuk informasi selengkapnya tentang penyimpangan peran, lihat Jangan menghapus peran yang diperlukan di bagian yang dipanggilJenis drift untuk segera diselesaikan.
Kontrol drift untuk kontrol non-SCP
AWS Control Tower melaporkan penyimpangan kontrol terkait kontrol yang diterapkan dengan kebijakan kontrol sumber daya (RCPs), kebijakan deklaratif, dan kontrol yang merupakan bagian dari Standar yang AWS Security Hub CSPM dikelola Layanan: AWS Control Tower.
Penyimpangan warisan untuk garis dasar dan kontrol
Drift baseline yang diaktifkan
Jika konfigurasi dasar pada akun anggota berbeda dari yang diterapkan pada OU induk, AWS Control Tower melaporkan penyimpangan warisan untuk garis dasar yang diaktifkan (konfigurasi sumber daya) pada konfigurasi tersebut dan akun. OUs Untuk informasi selengkapnya tentang garis dasar, lihat Jenis garis dasar.
-
Drift kontrol yang diaktifkan
Jika konfigurasi kontrol yang diaktifkan pada akun anggota berbeda dari yang diterapkan pada OU induk, AWS Control Tower melaporkan penyimpangan warisan untuk kontrol yang diaktifkan pada akun tersebut OUs dan akun.
Drift yang tidak dilaporkan
-
AWS Control Tower tidak mencari penyimpangan terkait layanan lain yang bekerja dengan akun manajemen, termasuk, Amazon AWS CloudTrail CloudWatch, IAM Identity Center,, CloudFormation AWS Config, dan sebagainya.
-
AWS Control Tower tidak mendeteksi penyimpangan sumber daya atau jenis drift lain yang mungkin terjadi jika Anda memodifikasi sumber daya yang terdapat dalam baseline.
Akun anggota yang dipindahkan
catatan
Untuk pelanggan di LZ 4.0+, AWS Control Tower tidak akan mengirimkan notifikasi drift akun pemindahan untuk akun Account Factory tanpanya. AWSControl TowerBaseline
Jenis penyimpangan ini terjadi pada akun daripada OU. Jenis drift ini dapat terjadi ketika akun anggota AWS Control Tower, akun audit, atau akun arsip log dipindahkan dari AWS Control Tower OU terdaftar ke OU lainnya. Dalam banyak kasus, Anda dapat menghindari jenis penyimpangan ini jika Anda mengaktifkan fitur pendaftaran otomatis untuk akun, di halaman Pengaturan. Untuk detail selengkapnya, lihat Memindahkan dan mendaftarkan akun dengan pendaftaran otomatis.
Berikut ini adalah contoh notifikasi drift saat jenis drift ini terdeteksi.
{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }
Resolusi
Ketika jenis drift ini terjadi untuk akun yang disediakan Account Factory di OU dengan hingga 1000 akun, Anda dapat menyelesaikannya dengan:
-
Menavigasi ke halaman Organisasi di konsol AWS Control Tower, memilih akun, dan memilih Perbarui akun di kanan atas (opsi tercepat untuk akun individual).
-
Menavigasi ke halaman Organisasi di konsol AWS Control Tower, lalu memilih Daftar ulang untuk OU yang berisi akun (opsi tercepat untuk beberapa akun). Untuk informasi selengkapnya, lihat Daftarkan unit organisasi yang ada dengan AWS Control Tower.
-
Memperbarui produk yang disediakan di Account Factory. Untuk informasi selengkapnya, lihat Perbarui dan pindahkan akun dengan AWS Control Tower.
catatan
Jika Anda memiliki beberapa akun individual untuk diperbarui, lihat juga metode ini untuk membuat pembaruan dengan skrip:Menyediakan dan memperbarui akun menggunakan otomatisasi.
-
Ketika jenis penyimpangan ini terjadi di OU dengan lebih dari 1000 akun, resolusi drift mungkin tergantung pada jenis akun mana yang telah dipindahkan, seperti yang dijelaskan dalam paragraf berikutnya. Untuk informasi selengkapnya, lihat Perbarui landing zone.
-
Jika akun yang disediakan Account Factory dipindahkan - Di OU dengan kurang dari 1000 akun, Anda dapat menyelesaikan penyimpangan akun dengan memperbarui produk yang disediakan di Account Factory, dengan mendaftarkan ulang OU, atau dengan memperbarui landing zone Anda.
Dalam OU dengan lebih dari 1000 akun, Anda harus menyelesaikan penyimpangan dengan membuat pembaruan ke setiap akun yang dipindahkan, baik melalui konsol AWS Control Tower atau produk yang disediakan, karena Registrasi ulang OU tidak akan melakukan pembaruan. Untuk informasi selengkapnya, lihat Perbarui dan pindahkan akun dengan AWS Control Tower.
-
Jika akun bersama dipindahkan — Anda dapat mengatasi penyimpangan dari memindahkan akun audit atau arsip log dengan memperbarui landing zone Anda. Untuk informasi selengkapnya, lihat Perbarui landing zone.
-
Nama bidang yang tidak digunakan lagi
Nama bidang MasterAccountID telah diubah ManagementAccountID untuk mematuhi AWS pedoman. Nama lama sudah usang. Sejak 2022, skrip yang berisi nama bidang usang tidak lagi berfungsi.
Akun anggota yang dihapus
Jenis penyimpangan ini dapat terjadi ketika akun anggota dihapus dari unit organisasi AWS Control Tower terdaftar. Contoh berikut menunjukkan notifikasi drift saat jenis drift ini terdeteksi.
{ "Message" : "AWS Control Tower has detected that the member account012345678909has been removed from organizationo-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }
Resolusi
-
Ketika jenis drift ini terjadi di akun anggota, Anda dapat menyelesaikan drift dengan memperbarui akun di konsol AWS Control Tower, atau di Account Factory. Misalnya, Anda dapat menambahkan akun ke OU terdaftar lain dari panduan pembaruan Account Factory. Untuk informasi selengkapnya, lihat Perbarui dan pindahkan akun dengan AWS Control Tower.
-
Jika akun bersama dihapus dari Foundational OU, Anda harus menyelesaikan drift dengan mengatur ulang landing zone Anda. Sampai penyimpangan ini teratasi, Anda tidak akan dapat menggunakan konsol AWS Control Tower.
-
Untuk informasi selengkapnya tentang menyelesaikan drift untuk akun dan OUs, lihat. Jika Anda mengelola sumber daya di luar AWS Control Tower
catatan
Di Service Catalog, produk yang disediakan Account Factory yang mewakili akun tidak diperbarui untuk menghapus akun. Sebagai gantinya, produk yang disediakan ditampilkan sebagai TAINTED dan dalam status kesalahan. Untuk membersihkan, buka Service Catalog, pilih produk yang disediakan, lalu pilih Terminate.
Pembaruan yang tidak direncanakan ke SCP terkelola
Jenis drift ini dapat terjadi ketika SCP untuk kontrol diperbarui di AWS Organizations konsol atau secara terprogram menggunakan AWS CLI atau salah satu AWS. SDKs Berikut ini adalah contoh notifikasi drift saat jenis drift ini terdeteksi.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Resolusi
Ketika jenis penyimpangan ini terjadi di OU dengan hingga 1000 akun, Anda dapat menyelesaikannya dengan:
-
Menavigasi ke halaman Organisasi di konsol AWS Control Tower untuk mendaftarkan ulang OU (opsi tercepat). Untuk informasi selengkapnya, lihat Daftarkan unit organisasi yang ada dengan AWS Control Tower.
-
Memperbarui landing zone Anda (opsi lebih lambat). Untuk informasi selengkapnya, lihat Perbarui landing zone.
Ketika jenis drift ini terjadi di OU dengan lebih dari 1000 akun, selesaikan dengan memperbarui landing zone Anda. Untuk informasi selengkapnya, lihat Perbarui landing zone.
SCP terlepas dari OU terkelola
Jenis drift ini dapat terjadi ketika SCP untuk kontrol telah terlepas dari OU yang dikelola oleh AWS Control Tower. Kejadian ini sangat umum terjadi saat Anda bekerja dari luar konsol AWS Control Tower. Berikut ini adalah contoh notifikasi drift saat jenis drift ini terdeteksi.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Resolusi
Ketika jenis penyimpangan ini terjadi di OU dengan hingga 1000 akun, Anda dapat menyelesaikannya dengan:
-
Menavigasi ke OU di konsol AWS Control Tower untuk mendaftarkan ulang OU (opsi tercepat). Untuk informasi selengkapnya, lihat Daftarkan unit organisasi yang ada dengan AWS Control Tower.
-
Memperbarui landing zone Anda (opsi lebih lambat). Jika drift memengaruhi kontrol wajib, proses pembaruan membuat kebijakan kontrol layanan baru (SCP) dan menempelkannya ke OU untuk menyelesaikan penyimpangan. Untuk informasi selengkapnya tentang cara memperbarui landing zone Anda, lihatPerbarui landing zone.
Ketika jenis drift ini terjadi di OU dengan lebih dari 1000 akun, selesaikan dengan memperbarui landing zone Anda. Jika drift memengaruhi kontrol wajib, proses pembaruan membuat kebijakan kontrol layanan baru (SCP) dan menempelkannya ke OU untuk menyelesaikan penyimpangan. Untuk informasi selengkapnya tentang cara memperbarui landing zone Anda, lihatPerbarui landing zone.
Dihapus Foundational OU
Jenis drift ini hanya berlaku untuk AWS Control Tower Foundational OUs, seperti Security OU. Hal ini dapat terjadi jika Foundational OU dihapus di luar konsol AWS Control Tower. Foundational OUs tidak dapat dipindahkan tanpa membuat jenis drift ini, karena memindahkan OU sama dengan menghapusnya dan kemudian menambahkannya di tempat lain. Saat Anda menyelesaikan drift dengan memperbarui landing zone, AWS Control Tower menggantikan Foundational OU di lokasi aslinya. Contoh berikut menunjukkan pemberitahuan drift yang mungkin Anda terima saat jenis drift ini terdeteksi.
{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }
Resolusi
Karena drift ini terjadi OUs hanya untuk Foundational, resolusinya adalah memperbarui landing zone. Ketika jenis lain OUs dihapus, AWS Control Tower diperbarui secara otomatis.
Untuk informasi selengkapnya tentang menyelesaikan drift untuk akun dan OUs, lihat. Jika Anda mengelola sumber daya di luar AWS Control Tower
Security Hub CSPM kontrol drift
Jenis drift ini terjadi ketika kontrol yang merupakan bagian dari AWS Security Hub CSPM Service-Managed Standard: AWS Control Tower melaporkan keadaan drift. AWS Security Hub CSPM Layanan itu sendiri tidak melaporkan keadaan drift untuk kontrol ini. Sebagai gantinya, layanan mengirimkan temuannya ke AWS Control Tower.
Drift kontrol CSPM Security Hub juga dapat dideteksi jika AWS Control Tower belum menerima pembaruan status dari Security Hub CSPM lebih dari 24 jam. Jika temuan tersebut tidak diterima seperti yang diharapkan, AWS Control Tower memverifikasi bahwa kontrol dalam drift. Contoh berikut menunjukkan pemberitahuan drift yang mungkin Anda terima saat jenis drift ini terdeteksi.
{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "SH.XXXXXXX.1", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>". "Region" : "us-east-1" }
Resolusi
Untuk OUs dengan kurang dari 1000 akun, resolusi yang disarankan adalah memanggil ResetEnabledControlAPI untuk kontrol drifted. Di konsol, Anda dapat memilih Daftar ulang untuk OU, yang mengatur ulang kontrol ke keadaan semula. Atau, untuk setiap OU, Anda dapat menghapus dan mengaktifkan kembali kontrol melalui konsol atau AWS Control Tower APIs, yang juga mengatur ulang kontrol.
Untuk informasi selengkapnya tentang menyelesaikan drift untuk akun dan OUs, lihat. Jika Anda mengelola sumber daya di luar AWS Control Tower
Pengendalian kebijakan drift
Jenis drift ini terjadi ketika kontrol yang diterapkan dengan kebijakan kontrol sumber daya (RCPs) atau kebijakan deklaratif melaporkan keadaan drift. Ini mengembalikan statusCONTROL_INEFFECTIVE, yang dapat Anda lihat di konsol AWS Control Tower dan dalam pesan drift. Pesan drift untuk jenis drift ini juga mencakup EnabledControlIdentifier untuk kontrol yang terpengaruh.
Jenis drift ini tidak dilaporkan untuk kontrol berbasis SCP.
Contoh berikut menunjukkan pemberitahuan drift yang mungkin Anda terima saat jenis drift ini terdeteksi.
{ "Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.", "MasterAccountId": "123456789XXX", "ManagementAccountId": "123456789XXX", "OrganizationId": "o-123EXAMPLE", "DriftType": "CONTROL_INEFFECTIVE", "RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.", "TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567", "ControlId": "CT.XXXXXXX.PV.1", "ControlName": "EBS snapshots should not be publicly restorable", "ApiControlIdentifier": "arn:aws:controlcatalog:::control/<UNIQUE_ID>", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>" }
Resolusi
Resolusi termudah untuk penyimpangan kebijakan kontrol pada kontrol RCP, kontrol kebijakan deklaratif, dan kontrol CSPM Security Hub yang diaktifkan di AWS Control Tower adalah dengan memanggil API. ResetEnabledControl
Untuk OUs dengan kurang dari 1000 akun, resolusi lain dari konsol atau API adalah mendaftarkan ulang OU, yang mengatur ulang kontrol ke status semula.
Untuk setiap individu OU, Anda dapat menghapus dan mengaktifkan kembali kontrol melalui konsol atau AWS Control Tower APIs, yang juga mengatur ulang kontrol.
Untuk informasi selengkapnya tentang menyelesaikan drift untuk akun dan OUs, lihat. Jika Anda mengelola sumber daya di luar AWS Control Tower
Akses tepercaya dinonaktifkan
Jenis drift ini berlaku untuk zona pendaratan AWS Control Tower. Ini terjadi ketika Anda menonaktifkan akses tepercaya ke AWS Control Tower AWS Organizations setelah Anda menyiapkan zona landing zone AWS Control Tower.
Ketika akses tepercaya dinonaktifkan, AWS Control Tower tidak lagi menerima peristiwa perubahan dari AWS Organizations. AWS Control Tower mengandalkan peristiwa perubahan ini agar tetap disinkronkan. AWS Organizations Akibatnya, AWS Control Tower mungkin melewatkan perubahan organisasi dalam akun dan OUs. Itulah mengapa penting untuk mendaftarkan ulang setiap OU, setiap kali Anda memperbarui landing zone Anda.
Contoh: pemberitahuan drift
Berikut ini adalah contoh notifikasi drift yang Anda terima saat jenis drift ini terjadi.
{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }
Resolusi
AWS Control Tower memberi tahu Anda saat jenis drift ini terjadi di konsol AWS Control Tower. Resolusinya adalah mengatur ulang landing zone AWS Control Tower Anda. Untuk informasi selengkapnya, lihat Menyelesaikan penyimpangan.
Pergeseran warisan pada baseline yang diaktifkan
Jenis drift ini dapat terjadi pada AWS Control Tower OUs dan akun.
Resolusi
AWS Control Tower memberi tahu Anda saat jenis drift ini terjadi. Untuk hampir semua kasus penyimpangan warisan, Anda akan menerima pemberitahuan drift untuk drift akun anggota yang dipindahkan. Itu karena jenis drift ini biasanya terjadi ketika akun telah dipindahkan, atau akun gagal pendaftaran.
Lihat dan selesaikan penyimpangan di konsol
Di konsol AWS Control Tower, Anda dapat melihat status drift yang diwariskan ini di kolom status Baseline di halaman Organizations. Resolusi dari konsol adalah mendaftarkan ulang OU Anda atau Perbarui akun Anda.
Lihat dan selesaikan drift secara terprogram
Untuk melihat status drift secara terprogram, Anda dapat memanggil ListEnabledBaselinesAPI untuk melihat status untuk garis dasar yang diaktifkan pada Anda. OUs Untuk melihat status akun individual secara terprogram dengan ListEnabledBaselines API, gunakan tanda. includeChildren
Anda dapat menyelesaikan jenis drift ini secara terprogram, dengan memanggil API. ResetEnabledBaseline
Pergeseran warisan pada kontrol yang diaktifkan
Jenis drift ini dapat terjadi pada AWS Control Tower OUs dan akun.
Resolusi
AWS Control Tower memberi tahu Anda saat jenis drift ini terjadi. Untuk hampir semua kasus penyimpangan warisan, Anda akan menerima pemberitahuan drift untuk drift akun anggota yang dipindahkan. Itu karena jenis drift ini biasanya terjadi ketika akun telah dipindahkan, atau akun gagal pendaftaran.
Lihat dan selesaikan penyimpangan di konsol
Di konsol AWS Control Tower, Anda dapat melihat status drift yang diwariskan ini di halaman Organizations, halaman kontrol Aktif, dan halaman Detail Akun. Resolusi dari konsol adalah mendaftarkan ulang OU Anda atau Perbarui akun Anda.
Lihat dan selesaikan drift secara terprogram
Untuk melihat status drift yang diwariskan untuk kontrol yang diaktifkan secara terprogram, Anda dapat memanggil ListEnabledControlsAPI untuk melihat status kontrol yang diaktifkan pada Anda. OUs Untuk melihat status akun individual secara terprogram dengan ListEnabledControls API, gunakan tanda. includeChildren
Anda dapat menyelesaikan jenis penyimpangan warisan ini secara terprogram, dengan memanggil API. ResetEnabledControl
EventBridge penciptaan
catatan
EventBridge diaktifkan hanya LZ4 untuk.0+ pelanggan.
Contoh EventBridge format untuk AWS Control Tower
{ "version": "0", "id": "cd4d811e-ab12-322b-8255-872ce65b1bc8", "detail-type": "Drift Detected", "source": "aws.controltower", "account": "111122223333", "time": "2018-03-22T00:38:11Z", "region": "us-east-1", "resources": [], "detail": { "message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "managementAccountId" : "012345678912", "organizationId" : "o-123EXAMPLE", "driftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "remediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "accountId" : "012345678909", "sourceId" : "012345678909", "destinationId" : "ou-3210-1EXAMPLE" } }
Panduan untuk membuat EventBridge aturan untuk menerima pemberitahuan drift:
Untuk membuat EventBridge aturan untuk notifikasi drift
-
Buka EventBridge Konsol Amazon:
-
Di panel navigasi, pilih Aturan.
-
Pilih Buat aturan.
-
Masukkan nama dan deskripsi aturan.
-
Untuk Tipe aturan, pilih Aturan dengan pola peristiwa.
-
Tentukan Sumber Acara:
-
Untuk “Sumber acara”, pilih AWS layanan sebagai sumber acara.
-
Untuk "nama AWS layanan”, pilih AWS Control Tower.
-
Untuk “Jenis acara”, pilih Drift Detected
-
-
Pilih Target:
-
Untuk jenis Target, pilih AWS layanan, dan untuk Pilih target, pilih target seperti topik pemberitahuan drift atau fungsi Lambda. Target terpicu saat peristiwa diterima yang sesuai dengan pola peristiwa yang ditentukan dalam aturan.
-
Bergantung pada target yang Anda pilih, berikan detail konfigurasi yang diperlukan, seperti nama fungsi Lambda atau ARN topik pemberitahuan drift.
-
-
Tinjau dan Buat Aturan:
-
Tinjau detail aturan Anda dan buat perubahan yang diperlukan.
-
Setelah Anda puas, klik Buat aturan untuk menyimpan EventBridge aturan baru.
-
Setelah membuat aturan, aturan akan mulai memantau peristiwa AWS Control Tower yang ditentukan dan memicu tindakan target yang dipilih saat peristiwa drift terjadi.
