Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Rileva e risolvi la deriva in AWS Control Tower
Identificare e risolvere la deriva è un'attività operativa regolare per gli amministratori degli account di gestione di AWS Control Tower. Risolvere la deriva aiuta a garantire la conformità ai requisiti di governance.
Quando crei la landing zone, la landing zone e tutte le unità organizzative (OUs), gli account e le risorse sono conformi alle regole di governance applicate dai controlli scelti. Man mano che tu e i membri della tua organizzazione utilizzate la landing zone, potrebbero verificarsi cambiamenti in questo stato di conformità. Alcune modifiche potrebbero essere accidentali mentre altre potrebbero essere apportate intenzionalmente per rispondere a eventi operativi prioritari.
Il rilevamento della deviazione aiuta a identificare le risorse che richiedono modifiche o aggiornamenti di configurazione per risolvere la deviazione.
## Rilevamento della deriva
AWS Control Tower rileva automaticamente la deriva. Per rilevare eventuali deviazioni, il `AWSControlTowerAdmin` ruolo richiede un accesso persistente all'account di gestione in modo che AWS Control Tower possa effettuare chiamate API di sola lettura verso. AWS Organizations Queste chiamate API vengono visualizzate come eventi. AWS CloudTrail
La deriva per un account membro viene evidenziata nelle notifiche di Amazon Simple Notification Service (Amazon SNS) aggregate nell'account di controllo. Le notifiche in ogni account membro inviano avvisi a un argomento locale di Amazon SNS e a una funzione Lambda.
**Nota**
Quando la funzionalità di registrazione automatica per gli account è abilitata in **Impostazioni**, queste notifiche SNS non sono disponibili.
Per i controlli che fanno parte del AWS Security Hub CSPM **Service-Managed Standard: AWS Control Tower**, la deriva viene mostrata nelle pagine dei **dettagli dell'**account**** e dell'account nella console AWS Control Tower, nonché tramite una notifica Amazon SNS.
Gli amministratori degli account membri possono (e, come best practice, devono) sottoscrivere le notifiche di deriva SNS per account specifici. Ad esempio, l'argomento `aws-controltower-AggregateSecurityNotifications` SNS fornisce notifiche di deviazione. La console AWS Control Tower indica agli amministratori degli account di gestione quando si è verificata una deriva. Per ulteriori informazioni sugli argomenti SNS relativi al rilevamento e alla notifica delle deviazioni, consulta Prevenzione e notifica delle [deviazioni](https://docs.aws.amazon.com//controltower/latest/userguide/prevention-and-notification.html).
**Deduplicazione delle notifiche Drift**
Se lo stesso tipo di deriva si verifica più volte sullo stesso set di risorse, AWS Control Tower invia una notifica SNS solo per l'istanza iniziale di drift. Se AWS Control Tower rileva che questa istanza di deriva è stata risolta, invia un'altra notifica solo se la deriva si ripresenta per quelle risorse identiche.
**Esempio: la deriva da SCP viene gestita nel modo seguente**
+ Se modifichi lo stesso SCP gestito più volte, ricevi una notifica per la prima volta che lo modifichi.
+ Se modifichi un SCP gestito, quindi correggi una deriva e poi lo modifichi nuovamente, riceverai due notifiche.
**Tipi di deviazione dell'account**
+ Account trasferito da un altro OUs (vedi *[Deriva dell'ereditarietà sulle linee di base abilitate](governance-drift.md#drift-enabled-baseline)*e[Variazione dell'ereditarietà sui controlli abilitati](governance-drift.md#drift-enabled-controls))
+ Account rimosso dall'organizzazione
**Nota**
Quando si sposta un account da un'unità organizzativa all'altra, i controlli dell'unità organizzativa precedente non vengono rimossi. Se si abilita un nuovo controllo basato su hook sull'unità organizzativa di destinazione, il vecchio il controllo basato su hook viene rimosso dall'account e il nuovo controllo lo sostituisce. I controlli SCPs e AWS Config le regole implementati con devono sempre essere rimossi manualmente quando un account cambia. OUs
**Esempi di deviazione delle politiche**
+ SCP aggiornato
+ SCP si è staccato da OU
Per ulteriori informazioni, vedere [Types of Governance](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html) Drift.
# Visualizzazione della deriva
È possibile visualizzare lo stato di deviazione dei propri account e OUs tramite la console oppure APIs identificare quando le configurazioni dell'account e dell'unità organizzativa sono diverse o non *sincronizzate*. Lo stato di drift viene comunicato anche tramite messaggi SNS. Per ulteriori informazioni sulla ricezione di questi messaggi SNS, consulta la [Guida alla sottoscrizione agli argomenti](https://docs.aws.amazon.com//controltower/latest/userguide/sns-guidance.html) SNS.
Per visualizzare lo stato dell'unità organizzativa e dello spostamento dell'account nella console, vai alla pagina **Organizzazione**, quindi seleziona gli OUs account che desideri controllare.
Per visualizzare lo stato di drift OUs e gli account a livello di programmazione, chiama l'[https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html)API per visualizzare gli stati delle linee di base abilitate. Per visualizzare gli stati dei singoli account in modo programmatico con l'API, usa il flag. `ListEnabledBaselines` `includeChildren` Puoi filtrare in base a questi stati e visualizzare solo gli account OUs che richiedono la tua attenzione.
**Nota**
AWS Control Tower genera un [evento del ciclo](https://docs.aws.amazon.com//controltower/latest/userguide/lifecycle-events.html) di vita al termine di ogni operazione di correzione della deriva.
# Risolvere la deriva
Sebbene il rilevamento sia automatico, i passaggi per risolvere la deriva devono essere eseguiti manualmente tramite la console o con. APIs (Tranne in alcuni casi in cui la registrazione automatica è abilitata per gli account che vengono spostati.)
Ad esempio, puoi risolvere la divergenza delle politiche per i controlli a livello di codice, chiamando l'API. [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)
Per risolvere la deviazione della *linea di base della configurazione per un'unità organizzativa, puoi scegliere Registra* **nuovamente** l'unità organizzativa nella console. Se la deriva è causata da un singolo account, puoi scegliere **Aggiorna account** nella console. Per risolvere la deriva della linea di base con APIs, puoi chiamare l'[https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html)API sull'unità organizzativa.
**Riepilogo**
+ Molti tipi di deriva possono essere risolti tramite la pagina delle impostazioni della **zona di atterraggio**. Puoi scegliere il pulsante **Ripristina** nella sezione **Versioni** per risolvere questi tipi di deriva.
+ **Se l'unità organizzativa dispone di meno di 1000 account, è possibile risolvere il problema relativo agli account forniti da Account Factory, o alla deriva da SCP, selezionando **Registra nuovamente l'unità organizzativa nella pagina **Organizzazione** o nella pagina dei dettagli dell'unità** organizzativa.**
+ Potresti riuscire a risolvere il problema della deriva dell'account, ad esempio aggiornando un singolo [Account membro trasferito](governance-drift.md#drift-account-moved) account. Per ulteriori informazioni, consulta [Aggiorna l'account nella console](updating-account-factory-accounts.md#update-account-in-console).
+ [Per quanto riguarda i controlli, è possibile risolvere molti tipi di deviazioni chiamando l'`ResetEnabledControl`API.](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)
+ La deriva di base OUs e gli account possono essere risolti chiamando l'[https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html)API o scegliendo **Re-register OU** o **Update account** nella console AWS Control Tower.
+ Per risolvere il problema *della deriva ereditaria* che si verifica quando gli account vengono trasferiti da un account all'altro OUs, puoi abilitare la funzionalità di registrazione automatica. Quando la registrazione automatica è abilitata, AWS Control Tower corregge automaticamente la deriva dell'ereditarietà applicando le risorse di base e le configurazioni di controllo dall'unità organizzativa di destinazione all'account spostato. **Puoi abilitare la registrazione automatica nella pagina **Impostazioni** della landing zone nella console o chiamando l'[https://docs.aws.amazon.com//controltower/latest/APIReference/API_UpdateLandingZone.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_UpdateLandingZone.html)API con il `RemediationType` parametro impostato su Inheritance Drift.** Per ulteriori informazioni, consulta [Sposta e registra gli account con la registrazione automatica](account-auto-enrollment.md).
**Quando si interviene per risolvere la deriva in una versione con landing zone, sono possibili due comportamenti.**
Se utilizzi la versione più recente della landing zone, quando scegli **Reset** e poi scegli **Confirm**, le risorse della tua drifted landing zone vengono ripristinate alla configurazione AWS Control Tower salvata. La versione landing zone rimane la stessa.
Se non utilizzi la versione più recente, devi scegliere **Aggiorna**. La landing zone viene aggiornata alla versione più recente della landing zone. La deriva viene risolta come parte di questo processo.
## Considerazioni sulla deriva e sulla scansione delle politiche
AWS Control Tower analizza quotidianamente le policy gestite SCPs e dichiarative per verificare che i controlli corrispondenti siano applicati correttamente e che non abbiano subito variazioni. RCPs Per recuperare queste risorse ed eseguire controlli su di esse, AWS Control Tower chiama AWS Organizations per tuo conto, utilizzando un ruolo nel tuo account di gestione.
Se una scansione di AWS Control Tower rileva una deriva, riceverai una notifica. AWS Control Tower invia una sola notifica per problema di deriva, quindi se la tua landing zone è già in stato di deriva, non riceverai notifiche aggiuntive a meno che non venga trovato un nuovo elemento di drift.
AWS Organizations limita la frequenza con cui ciascuno di essi APIs può essere chiamato. *Questo limite è espresso in transazioni al secondo (TPS) ed è noto come *limite TPS*, velocità di *limitazione o frequenza di richiesta* API.* Quando AWS Control Tower verifica le tue SCPs policy e quelle dichiarative tramite chiamate AWS Organizations, le chiamate API effettuate da AWS Control Tower vengono conteggiate ai fini del limite TPS, poiché AWS Control Tower utilizza l'account di gestione per effettuare le chiamate. RCPs
In rare situazioni, questo limite può essere raggiunto chiamando lo stesso APIs ripetutamente, tramite una soluzione di terze parti o uno script personalizzato scritto da te. Ad esempio, se tu e AWS Control Tower effettuate la stessa chiamata nello stesso momento (entro 1 secondo) e vengono raggiunti i limiti TPS, le chiamate successive vengono limitate. AWS Organizations APIs Cioè, queste chiamate restituiscono un errore come. `Rate exceeded`
**Se viene superata la frequenza di una richiesta API**
+ Se AWS Control Tower raggiunge il limite e viene rallentato, sospendiamo l'esecuzione dell'audit e la riprendiamo in un secondo momento.
+ Se il carico di lavoro raggiunge il limite e viene limitato, il risultato può variare da una leggera latenza fino a un errore fatale nel carico di lavoro, a seconda di come è configurato il carico di lavoro. Questo caso limite è qualcosa di cui essere consapevoli.
**Una scansione SCP giornaliera è composta da**
1. Recupero dei dati attivi di recente. OUs
1. Per ogni unità organizzativa registrata, recupera tutto ciò che SCPs è gestito da AWS Control Tower e collegato all'unità organizzativa. SCPs I Managed hanno identificatori che iniziano con. `aws-guardrails`
1. Per ogni controllo preventivo abilitato sull'unità organizzativa, verifica che la dichiarazione sulla politica del controllo sia presente nell'unità organizzativa gestita dall'unità organizzativa. SCPs
Un'unità organizzativa può averne una o più gestite SCPs.
## Tipi di deriva da risolvere immediatamente
La maggior parte dei tipi di deviazione può essere risolta dagli amministratori. Alcuni tipi di deriva devono essere risolti immediatamente, inclusa la cancellazione di un'unità organizzativa richiesta dalla landing zone di AWS Control Tower. Ecco alcuni esempi di deriva grave che potresti voler evitare:
+ *Non eliminare l'unità organizzativa di sicurezza:* l'unità organizzativa originariamente denominata **Security** durante la configurazione della landing zone da parte di AWS Control Tower non deve essere eliminata. Se la elimini, vedrai un messaggio di errore che ti chiede di reimpostare immediatamente la landing zone. Non potrai intraprendere altre azioni in AWS Control Tower fino al completamento del ripristino.
+ *Non eliminare i ruoli richiesti:* AWS Control Tower verifica determinati ruoli AWS Identity and Access Management (IAM) quando accedi alla console per rilevare eventuali variazioni dei *ruoli IAM*. Se questi ruoli sono mancanti o inaccessibili, vedrai una pagina di errore che ti chiederà di reimpostare la landing zone. Questi ruoli sono. `AWSControlTowerAdmin` `AWSControlTowerCloudTrailRole` `AWSControlTowerStackSetRole`
Per ulteriori informazioni su questi ruoli, consulta [Autorizzazioni necessarie per utilizzare la console AWS Control Tower](additional-console-required-permissions.md).
+ *Non eliminare tutte le unità aggiuntive OUs:* è necessaria almeno un'unità organizzativa aggiuntiva per il funzionamento di AWS Control Tower, ma non deve essere necessariamente l'unità **organizzativa Sandbox**.
+ *Non rimuovere gli account condivisi:* se rimuovi gli account condivisi da Foundational OUs con la AWS Organizations console o APIs, ad esempio, rimuovendo l'account di registrazione dall'unità organizzativa di sicurezza. Lo spostamento di questi account crea un tipo di deriva da **Move Account** a cui è necessario porre rimedio. Per porre rimedio a questo tipo di deriva, è necessario aggiornare la landing zone.
**Nota**
È consigliabile non spostare questi account condivisi dall'unità organizzativa Foundational.
## Modifiche riparabili alle risorse
Di seguito è riportato un elenco di modifiche alle risorse AWS Control Tower consentite, sebbene creino una deriva *risolvibile*. I risultati di queste operazioni consentite sono visualizzabili nella console AWS Control Tower, sebbene possa essere necessario un aggiornamento.
Per ulteriori informazioni su come risolvere la deriva risultante, consulta [Managing Resources Outside of AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/external-resources.html).
**Modifiche consentite al di fuori della console AWS Control Tower**
+ Cambia il nome di un'unità organizzativa registrata.
+ Modificare il nome dell'unità organizzativa di sicurezza.
+ Cambia il nome degli account dei membri in Non-Foundational OUs.
+ Cambia il nome degli account condivisi di AWS Control Tower nell'unità organizzativa di sicurezza.
+ Elimina un'unità organizzativa non fondamentale.
+ Eliminare un account registrato da un'unità organizzativa non fondamentale.
+ Modifica l'indirizzo e-mail di un account condiviso nell'unità organizzativa di sicurezza.
+ Modifica l'indirizzo e-mail di un account membro in un'unità organizzativa registrata.
**Nota**
Lo spostamento di account da OUs un account all'altro è considerato una deriva e deve essere risolto.
## Drift e fornitura di nuovi account
Se la tua landing zone è in uno stato di deriva, la funzionalità di **registrazione dell'account** in AWS Control Tower non funzionerà. In tal caso, devi fornire nuovi account tramite. AWS Service Catalog Per istruzioni, consulta [Esegui il provisioning degli account nella console Service Catalog, con Account Factory](provision-as-end-user.md).
In particolare, se hai apportato alcune modifiche ai tuoi account tramite Service Catalog, come cambiare il nome del tuo portafoglio, la funzione di **registrazione dell'account** non funzionerà.
# Tipi di deriva della governance
La deriva della governance, chiamata anche *deriva organizzativa* OUs SCPs, si verifica quando gli account dei membri vengono modificati o aggiornati. I tipi di deviazione della governance che possono essere rilevati in AWS Control Tower sono i seguenti:
+ Diversità nella governance di account e unità organizzative
+ Deriva della zona di atterraggio
+ Controlla la deriva per i controlli non SCP
+ Deriva ereditaria per linee di base e controlli
Le sezioni successive forniscono dettagli su questi tipi di deriva segnalati da AWS Control Tower e su come risolverli.
**Nota**
AWS Control Tower interromperà l'invio di notifiche di drift all'argomento SNS per i clienti con più di LZ4 0 anni e inizierà invece a inviare notifiche di drift EventBridge all'account di gestione. **Per vedere esempi di eventi e linee guida su come ricevere notifiche di drift, EventBridge consulta la sezione seguente sulla creazione. EventBridge **
**Cambiamenti nella governance di account e unità organizzative**
+ [Account membro trasferito](#drift-account-moved)
+ [Account membro rimosso](#drift-account-removed)
+ [Aggiornamento non pianificato a SCP gestito](#drift-scp-update)
+ [SCP scollegato dall'unità organizzativa gestita](#drift-scp-detached-ou)
**Deriva della zona di atterraggio**
Un altro tipo di deriva è la *deriva delle landing zone*, che può essere trovata tramite l'account di gestione. La deriva della zona di atterraggio consiste nella deriva dei ruoli IAM o in qualsiasi tipo di deriva organizzativa che influisca in modo specifico sugli account Foundational e condivisi. OUs
+ [Foundational OU eliminata](#drift-ou-deleted)
+ [Accesso affidabile disabilitato](#drift-disable-trust)
Un caso particolare di deriva delle landing zone è la *deriva dei ruoli*, che viene rilevata quando un ruolo richiesto non è disponibile. Se si verifica questo tipo di deriva, la console visualizza una pagina di avviso e alcune istruzioni su come ripristinare il ruolo. La landing zone non è disponibile finché non viene risolto il problema del ruolo. Per ulteriori informazioni sulla deriva dei ruoli, consulta *Non eliminare i ruoli obbligatori* nella sezione chiamata. [Tipi di deriva da risolvere immediatamente](drift.md#types-of-drift)
**Control drift per i controlli non SCP**
AWS Control Tower segnala la *deriva del controllo* per quanto riguarda i controlli implementati con le policy di controllo delle risorse (RCPs), le politiche dichiarative e i controlli che fanno parte dello **standard AWS Security Hub CSPM gestito dai servizi: AWS Control Tower**.
+ [Deriva di controllo CSPM del Security Hub](#sh-control-drift)
+ [Controlla la deriva delle politiche](#control-policy-drift)
**Derivazione dell'ereditarietà per linee di base e controlli**
+ **Deriva della linea di base abilitata**
Quando le configurazioni di base su un account membro sono diverse da quelle applicate all'unità organizzativa principale, AWS Control Tower segnala la differenza di ereditarietà per le baseline abilitate (configurazioni delle risorse) su tali account. OUs [Per ulteriori informazioni sulle linee di base, consulta Tipi di linee di base.](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html)
+ [Deriva dell'ereditarietà sulle linee di base abilitate](#drift-enabled-baseline)
+ **Control drift abilitato**
Quando le configurazioni di controllo abilitate su un account membro sono diverse da quelle applicate all'unità organizzativa principale, AWS Control Tower segnala una variazione di ereditarietà per i controlli abilitati su tali e sugli account. OUs
+ [Variazione dell'ereditarietà sui controlli abilitati](#drift-enabled-controls)
**Deriva che non viene segnalata**
AWS Control Tower non rileva differenze rispetto ad altri servizi che funzionano con l'account di gestione AWS CloudTrail, tra cui Amazon CloudWatch, IAM Identity Center e così via. CloudFormation AWS Config
AWS Control Tower non rileva la deriva delle risorse o altri tipi di deriva che può verificarsi se si modificano le risorse contenute in una baseline.
## Account membro trasferito
**Nota**
Per i clienti con LZ 4.0\$1, AWS Control Tower non invierà notifiche di spostamento dell'account per gli account Account Factory sprovvisti di. AWSControl TowerBaseline
Questo tipo di deviazione si verifica sull'account anziché sull'unità organizzativa. Questo tipo di deriva può verificarsi quando un account membro di AWS Control Tower, l'account di audit o l'account di archiviazione dei log viene spostato da un'unità organizzativa AWS Control Tower registrata a qualsiasi altra unità organizzativa. **In molti casi, puoi evitare questo tipo di deriva attivando la funzione di registrazione automatica per gli account, nella pagina Impostazioni.** Per ulteriori dettagli, consultare [Sposta e registra gli account con la registrazione automatica](account-auto-enrollment.md).
Di seguito è riportato un esempio di notifica di deriva quando viene rilevato questo tipo di deriva.
```
{
"Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
"ManagementAccountId" : "012345678912",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
"RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.",
"AccountId" : "012345678909",
"SourceId" : "012345678909",
"DestinationId" : "ou-3210-1EXAMPLE"
}
```
### Risoluzioni
Quando si verifica questo tipo di deviazione per un account fornito da Account Factory in un'unità organizzativa con un massimo di 1000 account, è possibile risolverlo nei seguenti modi:
+ Accedere alla pagina **Organizzazione** nella console AWS Control Tower, selezionare l'account e scegliere **Aggiorna account** in alto a destra (l'opzione più veloce per i singoli account).
+ Accedere alla pagina **Organizzazione** nella console AWS Control Tower, quindi scegliere **Re-register** for the OU che contiene l'account (l'opzione più veloce per più account). Per ulteriori informazioni, consulta [Registra un'unità organizzativa esistente con AWS Control Tower](importing-existing.md).
+ Aggiornamento del prodotto fornito in Account Factory. Per ulteriori informazioni, consulta [Aggiorna e sposta gli account con AWS Control Tower](updating-account-factory-accounts.md).
**Nota**
Se hai diversi account individuali da aggiornare, consulta anche questo metodo per effettuare aggiornamenti con uno script:[Esegui il provisioning e aggiorna gli account utilizzando l'automazione](update-accounts-by-script.md).
+ Quando si verifica questo tipo di deriva in un'unità organizzativa con più di 1000 account, la risoluzione della deriva può dipendere dal tipo di account spostato, come spiegato nei paragrafi successivi. Per ulteriori informazioni, consulta [Aggiorna la tua landing zone](update-controltower.md).
+ **Se un account dotato di Account Factory viene spostato**: in un'unità organizzativa con meno di 1000 account, puoi risolvere il problema aggiornando il prodotto di cui hai effettuato il provisioning in Account Factory, registrando nuovamente l'unità organizzativa o aggiornando la landing zone.
In un'unità organizzativa con più di 1000 account, è *necessario* risolvere il problema aggiornando ogni account spostato, tramite la console AWS Control Tower o il prodotto fornito, poiché **Re-register OU** non eseguirà l'aggiornamento. Per ulteriori informazioni, consulta [Aggiorna e sposta gli account con AWS Control Tower](updating-account-factory-accounts.md).
+ **Se viene spostato un account condiviso**: puoi risolvere il problema derivante dallo spostamento dell'account di controllo o dell'archivio dei log aggiornando la tua landing zone. Per ulteriori informazioni, consulta [Aggiorna la tua landing zone](update-controltower.md).
**Nome di campo obsoleto**
Il nome del campo `MasterAccountID` è stato modificato in conformità `ManagementAccountID` alle linee guida. AWS Il vecchio nome è **obsoleto**. Dal 2022, gli script che contengono il nome di campo obsoleto non funzionano più.
## Account membro rimosso
Questo tipo di deriva può verificarsi quando un account membro viene rimosso da un'unità organizzativa AWS Control Tower registrata. L'esempio seguente mostra la notifica di deriva quando viene rilevato questo tipo di deriva.
```
{
"Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'",
"ManagementAccountId" : "012345678912",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION",
"RemediationStep" : "Add account to Organization and update Account Factory provisioned product",
"AccountId" : "012345678909"
}
```
### Risoluzione
+ Quando si verifica questo tipo di deviazione in un account membro, puoi risolverla aggiornando l'account nella console AWS Control Tower o in Account Factory. Ad esempio, è possibile aggiungere l'account a un'altra unità organizzativa registrata dalla procedura guidata di aggiornamento di Account Factory. Per ulteriori informazioni, consulta [Aggiorna e sposta gli account con AWS Control Tower](updating-account-factory-accounts.md).
+ Se un account condiviso viene rimosso da un'unità organizzativa Foundational, devi risolvere il problema reimpostando la landing zone. Fino a quando questa deriva non sarà risolta, non sarà possibile utilizzare la console AWS Control Tower.
+ Per ulteriori informazioni sulla risoluzione di drift per gli account e OUs, consulta. [Se gestisci risorse al di fuori di AWS Control Tower](external-resources.md)
**Nota**
In Service Catalog, il prodotto fornito da Account Factory che rappresenta l'account non viene aggiornato per rimuovere l'account. Al contrario, il prodotto sottoposto a provisioning viene visualizzato come `TAINTED` e in uno stato di errore. Per eseguire la pulizia, vai al Service Catalog, scegli il prodotto fornito, quindi scegli **Termina**.
## Aggiornamento non pianificato a SCP gestito
Questo tipo di deriva può verificarsi quando un SCP per un controllo viene aggiornato nella AWS Organizations console o programmaticamente utilizzando o uno degli AWS CLI AWS. SDKs Di seguito è riportato un esempio di notifica di deriva quando viene rilevato questo tipo di deriva.
```
{
"Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'",
"ManagementAccountId" : "012345678912",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SCP_UPDATED",
"RemediationStep" : "Update Control Tower Setup",
"OrganizationalUnitId" : "ou-0123-1EXAMPLE",
"PolicyId" : "p-tEXAMPLE"
}
```
### Risoluzione
Quando si verifica questo tipo di deriva in un'unità organizzativa con un massimo di 1000 account, è possibile risolverlo nei seguenti modi:
+ Accedere alla pagina **Organizzazione** nella console AWS Control Tower per registrare nuovamente l'unità organizzativa (opzione più rapida). Per ulteriori informazioni, consulta [Registra un'unità organizzativa esistente con AWS Control Tower](importing-existing.md).
+ Aggiornamento della landing zone (opzione più lenta). Per ulteriori informazioni, consulta [Aggiorna la tua landing zone](update-controltower.md).
Se si verifica questo tipo di deriva in un'unità organizzativa con più di 1000 account, risolvilo aggiornando la landing zone. Per ulteriori informazioni, consulta [Aggiorna la tua landing zone](update-controltower.md).
## SCP scollegato dall'unità organizzativa gestita
Questo tipo di deriva può verificarsi quando un SCP per un controllo è stato scollegato da un'unità organizzativa gestita da AWS Control Tower. Questo evento è particolarmente comune quando lavori dall'esterno della console AWS Control Tower. Di seguito è riportato un esempio di notifica di deriva quando viene rilevato questo tipo di deriva.
```
{
"Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'",
"ManagementAccountId" : "012345678912",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SCP_DETACHED_FROM_OU",
"RemediationStep" : "Update Control Tower Setup",
"OrganizationalUnitId" : "ou-0123-1EXAMPLE",
"PolicyId" : "p-tEXAMPLE"
}
```
### Risoluzione
Quando si verifica questo tipo di deriva in un'unità organizzativa con un massimo di 1000 account, è possibile risolverlo nei seguenti modi:
+ Accedere all'unità organizzativa nella console AWS Control Tower per registrare nuovamente l'unità organizzativa (opzione più rapida). Per ulteriori informazioni, consulta [Registra un'unità organizzativa esistente con AWS Control Tower](importing-existing.md).
+ Aggiornamento della landing zone (opzione più lenta). Se la deriva influisce su un controllo obbligatorio, il processo di aggiornamento crea una nuova policy di controllo del servizio (SCP) e la collega all'unità organizzativa per risolvere la deriva. Per ulteriori informazioni su come aggiornare la landing zone, consulta[Aggiorna la tua landing zone](update-controltower.md).
Se si verifica questo tipo di deriva in un'unità organizzativa con più di 1000 account, risolvilo aggiornando la landing zone. Se la deriva influisce su un controllo obbligatorio, il processo di aggiornamento crea una nuova policy di controllo del servizio (SCP) e la collega all'unità organizzativa per risolvere la deriva. Per ulteriori informazioni su come aggiornare la landing zone, consulta[Aggiorna la tua landing zone](update-controltower.md).
## Foundational OU eliminata
Questo tipo di deriva si applica solo ad AWS Control Tower Foundational OUs, come l'unità organizzativa Security. Può verificarsi se un'unità organizzativa Foundational viene eliminata al di fuori della console AWS Control Tower. Foundational OUs non può essere spostato senza creare questo tipo di deriva, perché spostare un'unità organizzativa equivale a eliminarla e aggiungerla altrove. Quando risolvi la deriva aggiornando la landing zone, AWS Control Tower sostituisce l'unità organizzativa Foundational nella posizione originale. L'esempio seguente mostra una notifica di deriva che potresti ricevere quando viene rilevato questo tipo di deriva.
```
{
"Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'",
"ManagementAccountId" : "012345678912",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "ORGANIZATIONAL_UNIT_DELETED",
"RemediationStep" : "Delete organizational unit in Control Tower",
"OrganizationalUnitId" : "ou-0123-1EXAMPLE"
}
```
### Risoluzione
Poiché questa deriva si verifica OUs solo per Foundational, la risoluzione è quella di aggiornare la landing zone. Quando OUs vengono eliminati altri tipi di file, AWS Control Tower viene aggiornato automaticamente.
Per ulteriori informazioni sulla risoluzione di drift per gli account e OUs, consulta. [Se gestisci risorse al di fuori di AWS Control Tower](external-resources.md)
## Deriva di controllo CSPM del Security Hub
Questo tipo di deriva si verifica quando un controllo che fa parte del **AWS Security Hub CSPM Service-Managed Standard: AWS Control Tower** segnala uno stato di deriva. Il AWS Security Hub CSPM servizio stesso non segnala uno stato di deviazione per questi controlli. Il servizio invia invece i risultati ad AWS Control Tower.
La deriva di controllo di Security Hub CSPM può essere rilevata anche se AWS Control Tower non riceve un aggiornamento di stato da Security Hub CSPM da più di 24 ore. Se tali risultati non vengono ricevuti come previsto, AWS Control Tower verifica che il controllo stia andando alla deriva. L'esempio seguente mostra una notifica di deriva che potresti ricevere quando viene rilevato questo tipo di deriva.
```
{
"Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com . The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard",
"MasterAccountId" : "123456789XXX",
"ManagementAccountId" : "123456789XXX",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SECURITY_HUB_CONTROL_DISABLED",
"RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.",
"AccountId" : "7876543219XXX",
"ControlId" : "SH.XXXXXXX.1",
"ControlName" : "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB",
"EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/".
"Region" : "us-east-1"
}
```
### Risoluzione
Per OUs chi ha meno di 1000 account, la soluzione consigliata è chiamare l'**ResetEnabledControl**API per il controllo della deriva. Nella console, è possibile selezionare **Re-register** for the OU, che ripristina il controllo allo stato originale. In alternativa, per qualsiasi unità organizzativa, puoi rimuovere e riattivare il controllo tramite la console o AWS Control Tower APIs, che ripristina anche il controllo.
Per ulteriori informazioni sulla risoluzione di drift per gli account e, consulta. OUs [Se gestisci risorse al di fuori di AWS Control Tower](external-resources.md)
## Controlla la deriva delle politiche
Questo tipo di deriva si verifica quando un controllo implementato con politiche di *controllo delle risorse (RCPs) o politiche* *dichiarative segnala uno stato di* deriva. Restituisce uno stato di`CONTROL_INEFFECTIVE`, che è possibile visualizzare nella console AWS Control Tower e nel messaggio drift. Il messaggio di deriva per questo tipo di deriva include anche il messaggio `EnabledControlIdentifier` relativo al controllo interessato.
Questo tipo di deriva non viene segnalato per i controlli basati su SCP.
L'esempio seguente mostra una notifica di deriva che potresti ricevere quando viene rilevato questo tipo di deriva.
```
{
"Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.",
"MasterAccountId": "123456789XXX",
"ManagementAccountId": "123456789XXX",
"OrganizationId": "o-123EXAMPLE",
"DriftType": "CONTROL_INEFFECTIVE",
"RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.",
"TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567",
"ControlId": "CT.XXXXXXX.PV.1",
"ControlName": "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier": "arn:aws:controlcatalog:::control/",
"EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/"
}
```
### Risoluzione
La soluzione più semplice per la deriva delle policy di controllo sui controlli RCP, sui controlli delle policy dichiarative e sui controlli CSPM Security Hub abilitati in AWS Control Tower è chiamare l'API. `ResetEnabledControl`
Se hai meno OUs di 1000 account, un'altra soluzione della console o dell'API consiste nel **registrare nuovamente** l'unità organizzativa, che ripristina il controllo allo stato originale.
Per ogni singola unità organizzativa, puoi rimuovere e riattivare il controllo tramite la console o AWS Control Tower APIs, che ripristina anche il controllo.
Per ulteriori informazioni sulla risoluzione di drift per gli account e, consulta. OUs [Se gestisci risorse al di fuori di AWS Control Tower](external-resources.md)
## Accesso affidabile disabilitato
Questo tipo di deriva si applica alle zone di atterraggio di AWS Control Tower. Si verifica quando disabiliti l'accesso affidabile ad AWS Control Tower AWS Organizations dopo aver configurato la landing zone di AWS Control Tower.
Quando l'accesso affidabile è disabilitato, AWS Control Tower non riceve più eventi di modifica da AWS Organizations. AWS Control Tower si affida a questi eventi di modifica per rimanere sincronizzato. AWS Organizations Di conseguenza, AWS Control Tower potrebbe non rilevare modifiche organizzative negli account e OUs. Ecco perché è importante registrare nuovamente ogni unità organizzativa ogni volta che si aggiorna la landing zone.
**Esempio: notifica di deriva**
Di seguito è riportato un esempio della notifica di deriva che si riceve quando si verifica questo tipo di deriva.
```
{
"Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled",
"ManagementAccountId" : "012345678912",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "TRUSTED_ACCESS_DISABLED",
"RemediationStep" : "Reset Control Tower landing zone."
}
```
### Risoluzione
AWS Control Tower ti avvisa quando si verifica questo tipo di deriva nella console AWS Control Tower. La soluzione è reimpostare la landing zone di AWS Control Tower. Per ulteriori informazioni, consulta [Resolving drift](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift).
## Deriva dell'ereditarietà sulle linee di base abilitate
Questo tipo di deriva può verificarsi a livello di AWS Control Tower OUs e degli account.
### Risoluzione
AWS Control Tower ti avvisa quando si verifica questo tipo di deriva. *Per quasi tutti i casi di modifica dell'ereditarietà, riceverai una notifica di deviazione per la modifica dell'account membro di Moved.* Questo perché questo tipo di deviazione si verifica in genere quando un account viene spostato o quando un account non riesce a registrarsi.
**Visualizza e risolvi il problema del drift nella console**
**Nella console AWS Control Tower, puoi visualizzare questo stato di deriva ereditato nella colonna **Baseline state** della pagina Organizations.** **La risoluzione della console è **registrare nuovamente** l'unità organizzativa o aggiornare l'account.**
**Visualizza e risolvi la deriva a livello di codice**
Per visualizzare lo stato della deriva a livello di codice, puoi chiamare l'[https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html)API per visualizzare gli stati delle linee di base abilitate sul tuo. OUs Per visualizzare gli stati dei singoli account in modo programmatico con l'API, usa il flag. `ListEnabledBaselines` `includeChildren`
Puoi risolvere questo tipo di deriva a livello di codice, chiamando l'API. [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html)
## Variazione dell'ereditarietà sui controlli abilitati
Questo tipo di deriva può verificarsi a livello di AWS Control Tower OUs e degli account.
### Risoluzione
AWS Control Tower ti avvisa quando si verifica questo tipo di deriva. *Per quasi tutti i casi di modifica dell'ereditarietà, riceverai una notifica di deviazione per la modifica dell'account membro di Moved.* Questo perché questo tipo di deviazione si verifica in genere quando un account viene spostato o quando un account non riesce a registrarsi.
**Visualizza e risolvi il problema del drift nella console**
Nella console AWS Control Tower, puoi visualizzare questo stato di deriva ereditato nella pagina **Organizations**, nella pagina **Enabled controls** e nella pagina dei **dettagli dell'account**. La soluzione della console è **registrare nuovamente** l'unità organizzativa o **aggiornare** l'account.
**Visualizza e risolvi la deriva a livello di codice**
Per visualizzare a livello di codice lo stato di deriva ereditato per i controlli abilitati, puoi chiamare l'[https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledControls.html)API per visualizzare gli stati dei controlli abilitati sul tuo. OUs Per visualizzare gli stati dei singoli account in modo programmatico con l'API, usa il flag. `ListEnabledControls` `includeChildren`
Puoi risolvere questo tipo di deriva ereditaria a livello di codice, chiamando l'API. [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)
## EventBridge creazione
**Nota**
EventBridge è abilitato solo per i clienti con versioni LZ4 superiori a 0.
EventBridge Formato di esempio per AWS Control Tower
```
{
"version": "0",
"id": "cd4d811e-ab12-322b-8255-872ce65b1bc8",
"detail-type": "Drift Detected",
"source": "aws.controltower",
"account": "111122223333",
"time": "2018-03-22T00:38:11Z",
"region": "us-east-1",
"resources": [],
"detail": {
"message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
"managementAccountId" : "012345678912",
"organizationId" : "o-123EXAMPLE",
"driftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
"remediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.",
"accountId" : "012345678909",
"sourceId" : "012345678909",
"destinationId" : "ou-3210-1EXAMPLE"
}
}
```
Guida alla creazione di EventBridge regole per ricevere notifiche di deviazione:
**Per creare una EventBridge regola per le notifiche di deriva**
1. Apri la ** EventBridge console Amazon**:
1. Nel pannello di navigazione, scegli **Regole**.
1. Scegli **Crea regola**.
1. Inserisci un nome e una descrizione per la regola.
1. Per **Tipo di regola**, scegli **Regola con un modello di eventi**.
1. **Definisci l'origine dell'evento**:
+ Per «Origine evento», seleziona **AWS i servizi** come origine dell'evento.
+ Per "nome AWS del servizio», seleziona **AWS Control Tower**.
+ Per «Tipo di evento», seleziona **Drift Detected**
1. **Seleziona il bersaglio**:
+ Per i **tipi di destinazione**, scegli il **AWS servizio** e per **Seleziona una destinazione**, scegli una destinazione come un argomento di notifica di deriva o una funzione Lambda. La destinazione viene attivata quando viene ricevuto un evento che corrisponde al modello di evento definito nella regola.
+ A seconda della destinazione selezionata, fornisci i dettagli di configurazione necessari, come il nome della funzione Lambda o l'argomento ARN per la notifica delle deviazioni.
1. **Rivedi e crea la regola**:
+ Rivedi i dettagli della regola e apporta le modifiche necessarie.
+ Quando sei soddisfatto, fai clic su **Crea regola** per salvare la nuova EventBridge regola.
Dopo aver creato la regola, inizierà il monitoraggio degli eventi AWS Control Tower specificati e attiverà l'azione target selezionata quando si verificano eventi di deriva.
# Se gestisci risorse al di fuori di AWS Control Tower
AWS Control Tower configura account, unità organizzative e altre risorse per tuo conto, ma tu sei il proprietario di queste risorse. Puoi modificare queste risorse all'interno o all'esterno di AWS Control Tower. Il modo più comune per modificare le risorse al di fuori di AWS Control Tower è la AWS Organizations console. Questo argomento descrive come riconciliare le modifiche alle risorse AWS Control Tower quando le apporti al di fuori di AWS Control Tower.
La ridenominazione, l'eliminazione e lo spostamento di risorse all'esterno della console AWS Control Tower causano la mancata sincronizzazione della console. Molte modifiche possono essere riconciliate automaticamente. Alcune modifiche richiedono il ripristino della landing zone per aggiornare le informazioni visualizzate nella console AWS Control Tower.
In generale, le modifiche apportate all'esterno della console AWS Control Tower alle risorse AWS Control Tower creano uno stato di *deriva risolvibile* nella tua landing zone. Per ulteriori informazioni su queste modifiche, vedi [Modifiche riparabili alle risorse](drift.md#repairable-changes-to-resources).
****Attività che richiedono il ripristino della landing zone****
+ Eliminazione dell'unità organizzativa di sicurezza *(un caso speciale, da non fare alla leggera).*
+ Rimozione di un account condiviso dall'unità organizzativa di sicurezza *(non consigliata).*
+ Aggiornamento, collegamento o scollegamento di un SCP associato all'unità organizzativa di sicurezza.
****Modifiche aggiornate automaticamente da AWS Control Tower****
+ Modifica dell'indirizzo email di un account registrato
+ Ridenominazione di un account registrato
+ Creazione di una nuova unità organizzativa (OU) di primo livello
+ Ridenominazione di un'unità organizzativa registrata
+ Eliminazione di un'unità organizzativa registrata *(ad eccezione dell'unità organizzativa di sicurezza, che richiede un aggiornamento*).
+ Eliminazione di un account registrato *(ad eccezione di un account condiviso nell'unità organizzativa di sicurezza*).
**Nota**
AWS Service Catalog gestisce le modifiche in modo diverso rispetto ad AWS Control Tower. AWS Service Catalog può creare un cambiamento nella posizione di governance quando riconcilia le modifiche. Per ulteriori informazioni sull'aggiornamento di un prodotto fornito, consulta la sezione [Aggiornamento dei prodotti forniti nella documentazione.](https://docs.aws.amazon.com//servicecatalog/latest/userguide/enduser-update.html) AWS Service Catalog
## Riferimento a risorse esterne a AWS Control Tower
Quando crei nuovi account OUs e al di fuori di AWS Control Tower, questi non sono governati da AWS Control Tower, anche se possono essere visualizzati.
**Creazione di una UO**
Le unità organizzative (OUs) create al di fuori di AWS Control Tower vengono chiamate *non registrate*. Vengono visualizzati nella pagina **Organizzazione**, ma non sono regolati dai controlli di AWS Control Tower.
**Creazione di un account**
Gli account creati al di fuori di AWS Control Tower vengono definiti *non registrati*. **Gli account registrati e non registrati che appartengono a un'unità organizzativa registrata con AWS Control Tower vengono visualizzati nella pagina Organizzazione.** Gli account che non appartengono a un'unità organizzativa registrata possono essere invitati utilizzando la console. AWS Organizations Questo invito a partecipare non registra l'account in AWS Control Tower né estende la governance di AWS Control Tower all'account. Per estendere la governance registrando l'account, vai alla pagina **Organizzazione** o alla pagina dei **dettagli dell'account** in AWS Control Tower e scegli **Enroll** account.
## Modifica esterna dei nomi delle risorse AWS Control Tower
Puoi modificare i nomi delle unità organizzative (OUs) e degli account al di fuori della console AWS Control Tower e la console si aggiorna automaticamente per riflettere tali modifiche.
**Ridenominazione di una UO**
In AWS Organizations, puoi modificare il nome di un'unità organizzativa utilizzando l' AWS Organizations API o la console. Quando si modifica il nome di un'unità organizzativa al di fuori di AWS Control Tower, la console AWS Control Tower riflette automaticamente la modifica del nome. Tuttavia, se effettui il provisioning dei tuoi account utilizzando AWS Service Catalog, devi anche reimpostare la landing zone per assicurarti che AWS Control Tower rimanga coerente AWS Organizations. Il flusso di lavoro **Reset** garantisce la coerenza tra i servizi Foundational e Additional OUs. Puoi risolvere questo tipo di deriva dalla pagina delle **impostazioni della zona di atterraggio**. Vedi la sezione chiamata «Risolvere la deriva» in. [Rileva e risolvi la deriva in AWS Control Tower](drift.md)
AWS Control Tower visualizza i nomi di OUs nella pagina **Organizzazione** nella dashboard di AWS Control Tower. Puoi vedere quando l'operazione di ripristino della landing zone è riuscita.
**Ridenominazione di un account registrato**
Ogni AWS account ha un nome visualizzato che può essere modificato dall'utente root dell'account nella Gestione dei costi e fatturazione AWS console. Quando rinomini un account registrato in AWS Control Tower, la modifica del nome si riflette automaticamente in AWS Control Tower. Per ulteriori informazioni sulla modifica del nome di un account, consulta [Managing an AWS account](https://docs.aws.amazon.com//awsaccountbilling/latest/aboutv2/manage-account-payment.html#manage-account-payment-edit-user-name) nella *AWS Billing* User Guide.
## Eliminazione dell'unità organizzativa di sicurezza
Questo tipo di deviazione è un caso speciale. Se elimini la **Security** OU, vedrai una pagina con un messaggio di errore che ti chiede di reimpostare la landing zone. Devi reimpostare la landing zone prima di poter intraprendere qualsiasi altra azione in AWS Control Tower.
+ Non potrai eseguire alcuna azione nella console AWS Control Tower e non potrai creare nuovi account AWS Service Catalog fino al completamento del ripristino.
+ Non potrai visualizzare la pagina delle **impostazioni della zona di atterraggio**, dove troverai il pulsante **Reset**.
In questa situazione, il processo di ripristino della landing zone crea una nuova unità organizzativa di sicurezza e sposta i due account condivisi nella nuova unità organizzativa di sicurezza. AWS Control Tower contrassegna gli account Log Archive e Audit come deviati. Lo stesso processo risolve il problema di questi account.
**Se ritieni necessario eliminare l'unità **organizzativa di sicurezza**, ecco cosa devi sapere:**
Prima di poter eliminare l'unità organizzativa di **sicurezza**, è necessario assicurarsi che non contenga account. In particolare, è necessario rimuovere gli account Log Archive e Audit dall'unità organizzativa. Si consiglia di spostare questi account in un'altra unità organizzativa.
**Nota**
L'operazione di eliminazione dell'unità organizzativa di sicurezza non deve essere eseguita senza la dovuta considerazione. L'azione potrebbe creare problemi di conformità se la registrazione viene sospesa temporaneamente e perché alcuni controlli potrebbero non essere applicati.
Per informazioni generali sulla deviazione, consultare “Risoluzione della deviazione” in [Rileva e risolvi la deriva in AWS Control Tower](drift.md).
## Rimozione di un account dall'unità organizzativa di sicurezza
Non è consigliabile rimuovere gli account condivisi dall'organizzazione o spostarli dall'unità organizzativa di **sicurezza**. Se hai rimosso accidentalmente un account condiviso, puoi seguire i passaggi di riparazione descritti in questa sezione per ripristinare l'account.
+ **Dalla console AWS Control Tower:** per avviare il processo di riparazione, segui i passaggi di riparazione semimanuali. Assicurati che l'utente o il ruolo che utilizzi per accedere alla console AWS Control Tower disponga delle autorizzazioni per l'esecuzione`organizations:InviteAccountToOrganization`. Se non disponi di tali autorizzazioni, segui i passaggi di riparazione manuale, che utilizzano sia la console AWS Control Tower che la AWS Organizations console.
+ **A partire dalla AWS Organizations console:** questo processo di riparazione è una procedura leggermente più lunga e completamente manuale. Quando segui i passaggi di riparazione manuale, passerai dalla AWS Organizations console alla console AWS Control Tower. Quando lavori in AWS Organizations, avrai bisogno di un utente o di un ruolo con la policy `AWSOrganizationsFullAccess` gestita o equivalente. Quando lavori nella console AWS Control Tower, avrai bisogno di un utente o di un ruolo con la policy `AWSControlTowerServiceRolePolicy` gestita o equivalente e l'autorizzazione per eseguire tutte le azioni AWS Control Tower (controltower: \$1).
+ Se le procedure di riparazione non ripristinano l'account, contatta. Supporto AWS
**I risultati della rimozione di un account condiviso tramite AWS Organizations:**
+ L'account non è più protetto dai controlli obbligatori di AWS Control Tower con policy di controllo dei servizi (SCPs). **Risultato:** *le risorse create da AWS Control Tower nell'account possono essere modificate o eliminate.*
+ L'account non fa più parte dell'account AWS Organizations di gestione. **Risultato:** *l'amministratore dell'account di AWS Organizations gestione non ha più visibilità sulla spesa dell'account.*
+ Non è più garantito il monitoraggio dell'account da AWS Config. **Risultato:** *l'amministratore dell'account di AWS Organizations gestione potrebbe non essere in grado di rilevare le modifiche alle risorse.*
+ L'account non è più presente nell'organizzazione. **Risultato:** *gli aggiornamenti e il ripristino di AWS Control Tower falliranno.*
**Per ripristinare un account condiviso utilizzando la console AWS Control Tower (procedura semi-manuale)**
1. Accedi alla console AWS Control Tower all'indirizzo [https://console.aws.amazon.com/controltower.](https://console.aws.amazon.com/controltower) Devi accedere come utente IAM, utente in IAM Identity Center o ruolo con autorizzazioni di esecuzione. `organizations:InviteAccountToOrganization` Se non disponi di tali autorizzazioni, utilizza la procedura di riparazione manuale descritta più avanti in questo argomento.
1. Nella pagina **Landing Zone Detected**, scegli **Re-Invita per rimediare alla rimozione dell'account condiviso invitando** nuovamente l'account condiviso a far parte dell'organizzazione. Un'e-mail generata automaticamente viene inviata all'indirizzo e-mail dell'account.
1. Accetta l'invito a riportare l'account condiviso nell'organizzazione. Esegui una delle seguenti operazioni:
+ Accedi all'account condiviso che è stato rimosso, quindi vai su [https://console.aws.amazon.com/organizations/home\$1/inviti](https://console.aws.amazon.com/organizations/home#/invites)
+ Se hai accesso al messaggio e-mail inviato quando hai nuovamente invitato l'account, accedi all'account rimosso, quindi fai clic sul link contenuto nel messaggio per accedere direttamente all'invito all'account.
+ Se l'account condiviso che è stato rimosso non appartiene a un'altra organizzazione, accedi all'account, apri la AWS Organizations console e vai a **Inviti**.
1. Accedi nuovamente all'account di gestione o ricarica la console AWS Control Tower se è già aperta. Vedrai la pagina **Landing zone drift**. Scegli **Reset per ripristinare** la landing zone.
1. Attendi il completamento del processo di ripristino.
Se la riparazione ha esito positivo, l'account condiviso appare in uno stato e in conformità normali.
Se le procedure di riparazione non ripristinano l'account, contatta. Supporto AWS
**Per ripristinare un account condiviso utilizzando AWS Control Tower e AWS Organizations console (riparazione manuale)**
1. Accedi alla AWS Organizations console all'indirizzo. [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/) Devi accedere come utente IAM, utente in IAM Identity Center o ruolo con la policy `AWSOrganizationsFullAccess` gestita o equivalente.
1. Invita l'account condiviso a rientrare nell'organizzazione. *Per informazioni sui requisiti, i prerequisiti e la procedura per invitare un account a AWS Organizations, vedi [Invitare un AWS account alla tua organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html) nella Guida per l'AWS Organizations utente.*
1. Accedi all'account condiviso che è stato rimosso, quindi vai su [https://console.aws.amazon.com/organizations/home\$1/inviti per accettare](https://console.aws.amazon.com/organizations/home#/invites) l'invito.
1. Accedi nuovamente all'account di gestione.
1. Accedi alla console AWS Control Tower come utente o ruolo con la policy `AWSControlTowerServiceRolePolicy` gestita o equivalente e le autorizzazioni per eseguire tutte le azioni AWS Control Tower (controltower: \$1).
1. Vedrai la pagina **Landing zone drift** con un'opzione per reimpostare la landing zone. Scegli **Reset per ripristinare** la landing zone.
1. Attendi il completamento del processo di ripristino.
Se la riparazione ha esito positivo, l'account condiviso appare in uno stato e in conformità normali.
Se le procedure di riparazione non ripristinano l'account, contatta. Supporto AWS
## Modifiche esterne che vengono aggiornate automaticamente
Le modifiche apportate agli indirizzi e-mail del tuo account vengono aggiornate automaticamente da AWS Control Tower, ma Account Factory non le aggiorna automaticamente.
**Modifica dell'indirizzo email di un account sottoposto a governance**
AWS Control Tower recupera e visualizza gli indirizzi e-mail come richiesto dall'esperienza della console. Pertanto, gli indirizzi e-mail condivisi e gli altri account vengono aggiornati e visualizzati in modo coerente in AWS Control Tower dopo averli modificati.
**Nota**
In AWS Service Catalog, Account Factory visualizza i parametri specificati nella console al momento della creazione di un prodotto fornito. Tuttavia, l'indirizzo email dell'account originale non viene aggiornato automaticamente quando l'indirizzo email dell'account cambia. Questo perché l'account è concettualmente contenuto all'interno del prodotto di cui è stato eseguito il provisioning; non è lo stesso del prodotto di cui è stato eseguito il provisioning. Per aggiornare questo valore, è necessario aggiornare il prodotto con provisioning, che può causare una modifica nella governance.
**Applicazione di regole esterne AWS Config **
AWS Control Tower mostra lo stato di conformità di tutte AWS Config le regole distribuite nelle unità organizzative registrate con AWS Control Tower, incluse le regole attivate al di fuori della console AWS Control Tower.
### Eliminazione di risorse AWS Control Tower all'esterno di AWS Control Tower
Puoi eliminare OUs account in AWS Control Tower e non è necessario intraprendere ulteriori azioni per visualizzare gli aggiornamenti. Account Factory viene aggiornato automaticamente quando si elimina un'unità organizzativa, ma non quando si elimina un account.
**Eliminazione di un'unità organizzativa registrata (ad eccezione dell'unità organizzativa di sicurezza)**
All'interno AWS Organizations, è possibile rimuovere le unità organizzative vuote (OUs) utilizzando l'API o la console. OUs che contengono account non possono essere eliminati.
AWS Control Tower riceve una notifica AWS Organizations quando un'unità organizzativa viene eliminata. Aggiorna l'elenco delle unità organizzative in Account Factory, in modo che l'elenco delle unità registrate OUs rimanga coerente.
**Nota**
Nel AWS Service Catalog, Account Factory viene aggiornato per rimuovere l'unità organizzativa eliminata dall'elenco delle unità disponibili OUs in cui è possibile effettuare il provisioning di un account.
**Eliminazione di un account registrato da un'unità organizzativa**
Quando elimini un account registrato, AWS Control Tower riceve una notifica e apporta aggiornamenti, in modo che le informazioni rimangano coerenti.
**Nota**
Nel AWS Service Catalog, il prodotto fornito da Account Factory che rappresenta l'account gestito non viene aggiornato per eliminare l'account. Al contrario, il prodotto sottoposto a provisioning viene visualizzato come `TAINTED` e in uno stato di errore. Per eseguire la pulizia, passare a AWS Service Catalog, scegliere il prodotto di cui è stato eseguito il provisioning, quindi scegliere **Terminate (Termina)**.