Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Tipi di deriva della governance
La deriva della governance, chiamata anche deriva organizzativa OUs SCPs, si verifica quando gli account dei membri vengono modificati o aggiornati. I tipi di deviazione della governance che possono essere rilevati in AWS Control Tower sono i seguenti:
Diversità nella governance di account e unità organizzative
Deriva della zona di atterraggio
Controlla la deriva per i controlli non SCP
Deriva ereditaria per linee di base e controlli
Le sezioni successive forniscono dettagli su questi tipi di deriva segnalati da AWS Control Tower e su come risolverli.
Nota
AWS Control Tower interromperà l'invio di notifiche di drift all'argomento SNS per i clienti con più di LZ4 0 anni e inizierà invece a inviare notifiche di drift EventBridge all'account di gestione. Per vedere esempi di eventi e linee guida su come ricevere notifiche di drift, EventBridge consulta la sezione seguente sulla creazione. EventBridge
Cambiamenti nella governance di account e unità organizzative
Deriva della zona di atterraggio
Un altro tipo di deriva è la deriva delle landing zone, che può essere trovata tramite l'account di gestione. La deriva della zona di atterraggio consiste nella deriva dei ruoli IAM o in qualsiasi tipo di deriva organizzativa che influisca in modo specifico sugli account Foundational e condivisi. OUs
Un caso particolare di deriva delle landing zone è la deriva dei ruoli, che viene rilevata quando un ruolo richiesto non è disponibile. Se si verifica questo tipo di deriva, la console visualizza una pagina di avviso e alcune istruzioni su come ripristinare il ruolo. La landing zone non è disponibile finché non viene risolto il problema del ruolo. Per ulteriori informazioni sulla deriva dei ruoli, consulta Non eliminare i ruoli obbligatori nella sezione chiamata. Tipi di deriva da risolvere immediatamente
Control drift per i controlli non SCP
AWS Control Tower segnala la deriva del controllo per quanto riguarda i controlli implementati con le policy di controllo delle risorse (RCPs), le politiche dichiarative e i controlli che fanno parte dello standard AWS Security Hub CSPM gestito dai servizi: AWS Control Tower.
Derivazione dell'ereditarietà per linee di base e controlli
Deriva della linea di base abilitata
Quando le configurazioni di base su un account membro sono diverse da quelle applicate all'unità organizzativa principale, AWS Control Tower segnala la differenza di ereditarietà per le baseline abilitate (configurazioni delle risorse) su tali account. OUs Per ulteriori informazioni sulle linee di base, consulta Tipi di linee di base.
-
Control drift abilitato
Quando le configurazioni di controllo abilitate su un account membro sono diverse da quelle applicate all'unità organizzativa principale, AWS Control Tower segnala una variazione di ereditarietà per i controlli abilitati su tali e sugli account. OUs
Deriva che non viene segnalata
-
AWS Control Tower non rileva differenze rispetto ad altri servizi che funzionano con l'account di gestione AWS CloudTrail, tra cui Amazon CloudWatch, IAM Identity Center e così via. CloudFormation AWS Config
-
AWS Control Tower non rileva la deriva delle risorse o altri tipi di deriva che può verificarsi se si modificano le risorse contenute in una baseline.
Account membro trasferito
Nota
Per i clienti con LZ 4.0+, AWS Control Tower non invierà notifiche di spostamento dell'account per gli account Account Factory sprovvisti di. AWSControl TowerBaseline
Questo tipo di deviazione si verifica sull'account anziché sull'unità organizzativa. Questo tipo di deriva può verificarsi quando un account membro di AWS Control Tower, l'account di audit o l'account di archiviazione dei log viene spostato da un'unità organizzativa AWS Control Tower registrata a qualsiasi altra unità organizzativa. In molti casi, puoi evitare questo tipo di deriva attivando la funzione di registrazione automatica per gli account, nella pagina Impostazioni. Per ulteriori dettagli, consultare Sposta e registra gli account con la registrazione automatica.
Di seguito è riportato un esempio di notifica di deriva quando viene rilevato questo tipo di deriva.
{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }
Risoluzioni
Quando si verifica questo tipo di deviazione per un account fornito da Account Factory in un'unità organizzativa con un massimo di 1000 account, è possibile risolverlo nei seguenti modi:
-
Accedere alla pagina Organizzazione nella console AWS Control Tower, selezionare l'account e scegliere Aggiorna account in alto a destra (l'opzione più veloce per i singoli account).
-
Accedere alla pagina Organizzazione nella console AWS Control Tower, quindi scegliere Re-register for the OU che contiene l'account (l'opzione più veloce per più account). Per ulteriori informazioni, consulta Registra un'unità organizzativa esistente con AWS Control Tower.
-
Aggiornamento del prodotto fornito in Account Factory. Per ulteriori informazioni, consulta Aggiorna e sposta gli account con AWS Control Tower.
Nota
Se hai diversi account individuali da aggiornare, consulta anche questo metodo per effettuare aggiornamenti con uno script:Esegui il provisioning e aggiorna gli account utilizzando l'automazione.
-
Quando si verifica questo tipo di deriva in un'unità organizzativa con più di 1000 account, la risoluzione della deriva può dipendere dal tipo di account spostato, come spiegato nei paragrafi successivi. Per ulteriori informazioni, consulta Aggiorna la tua landing zone.
-
Se un account dotato di Account Factory viene spostato: in un'unità organizzativa con meno di 1000 account, puoi risolvere il problema aggiornando il prodotto di cui hai effettuato il provisioning in Account Factory, registrando nuovamente l'unità organizzativa o aggiornando la landing zone.
In un'unità organizzativa con più di 1000 account, è necessario risolvere il problema aggiornando ogni account spostato, tramite la console AWS Control Tower o il prodotto fornito, poiché Re-register OU non eseguirà l'aggiornamento. Per ulteriori informazioni, consulta Aggiorna e sposta gli account con AWS Control Tower.
-
Se viene spostato un account condiviso: puoi risolvere il problema derivante dallo spostamento dell'account di controllo o dell'archivio dei log aggiornando la tua landing zone. Per ulteriori informazioni, consulta Aggiorna la tua landing zone.
-
Nome di campo obsoleto
Il nome del campo MasterAccountID è stato modificato in conformità ManagementAccountID alle linee guida. AWS Il vecchio nome è obsoleto. Dal 2022, gli script che contengono il nome di campo obsoleto non funzionano più.
Account membro rimosso
Questo tipo di deriva può verificarsi quando un account membro viene rimosso da un'unità organizzativa AWS Control Tower registrata. L'esempio seguente mostra la notifica di deriva quando viene rilevato questo tipo di deriva.
{ "Message" : "AWS Control Tower has detected that the member account012345678909has been removed from organizationo-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }
Risoluzione
-
Quando si verifica questo tipo di deviazione in un account membro, puoi risolverla aggiornando l'account nella console AWS Control Tower o in Account Factory. Ad esempio, è possibile aggiungere l'account a un'altra unità organizzativa registrata dalla procedura guidata di aggiornamento di Account Factory. Per ulteriori informazioni, consulta Aggiorna e sposta gli account con AWS Control Tower.
-
Se un account condiviso viene rimosso da un'unità organizzativa Foundational, devi risolvere il problema reimpostando la landing zone. Fino a quando questa deriva non sarà risolta, non sarà possibile utilizzare la console AWS Control Tower.
-
Per ulteriori informazioni sulla risoluzione di drift per gli account e OUs, consulta. Se gestisci risorse al di fuori di AWS Control Tower
Nota
In Service Catalog, il prodotto fornito da Account Factory che rappresenta l'account non viene aggiornato per rimuovere l'account. Al contrario, il prodotto sottoposto a provisioning viene visualizzato come TAINTED e in uno stato di errore. Per eseguire la pulizia, vai al Service Catalog, scegli il prodotto fornito, quindi scegli Termina.
Aggiornamento non pianificato a SCP gestito
Questo tipo di deriva può verificarsi quando un SCP per un controllo viene aggiornato nella AWS Organizations console o programmaticamente utilizzando o uno degli AWS CLI AWS. SDKs Di seguito è riportato un esempio di notifica di deriva quando viene rilevato questo tipo di deriva.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Risoluzione
Quando si verifica questo tipo di deriva in un'unità organizzativa con un massimo di 1000 account, è possibile risolverlo nei seguenti modi:
-
Accedere alla pagina Organizzazione nella console AWS Control Tower per registrare nuovamente l'unità organizzativa (opzione più rapida). Per ulteriori informazioni, consulta Registra un'unità organizzativa esistente con AWS Control Tower.
-
Aggiornamento della landing zone (opzione più lenta). Per ulteriori informazioni, consulta Aggiorna la tua landing zone.
Se si verifica questo tipo di deriva in un'unità organizzativa con più di 1000 account, risolvilo aggiornando la landing zone. Per ulteriori informazioni, consulta Aggiorna la tua landing zone.
SCP scollegato dall'unità organizzativa gestita
Questo tipo di deriva può verificarsi quando un SCP per un controllo è stato scollegato da un'unità organizzativa gestita da AWS Control Tower. Questo evento è particolarmente comune quando lavori dall'esterno della console AWS Control Tower. Di seguito è riportato un esempio di notifica di deriva quando viene rilevato questo tipo di deriva.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Risoluzione
Quando si verifica questo tipo di deriva in un'unità organizzativa con un massimo di 1000 account, è possibile risolverlo nei seguenti modi:
-
Accedere all'unità organizzativa nella console AWS Control Tower per registrare nuovamente l'unità organizzativa (opzione più rapida). Per ulteriori informazioni, consulta Registra un'unità organizzativa esistente con AWS Control Tower.
-
Aggiornamento della landing zone (opzione più lenta). Se la deriva influisce su un controllo obbligatorio, il processo di aggiornamento crea una nuova policy di controllo del servizio (SCP) e la collega all'unità organizzativa per risolvere la deriva. Per ulteriori informazioni su come aggiornare la landing zone, consultaAggiorna la tua landing zone.
Se si verifica questo tipo di deriva in un'unità organizzativa con più di 1000 account, risolvilo aggiornando la landing zone. Se la deriva influisce su un controllo obbligatorio, il processo di aggiornamento crea una nuova policy di controllo del servizio (SCP) e la collega all'unità organizzativa per risolvere la deriva. Per ulteriori informazioni su come aggiornare la landing zone, consultaAggiorna la tua landing zone.
Foundational OU eliminata
Questo tipo di deriva si applica solo ad AWS Control Tower Foundational OUs, come l'unità organizzativa Security. Può verificarsi se un'unità organizzativa Foundational viene eliminata al di fuori della console AWS Control Tower. Foundational OUs non può essere spostato senza creare questo tipo di deriva, perché spostare un'unità organizzativa equivale a eliminarla e aggiungerla altrove. Quando risolvi la deriva aggiornando la landing zone, AWS Control Tower sostituisce l'unità organizzativa Foundational nella posizione originale. L'esempio seguente mostra una notifica di deriva che potresti ricevere quando viene rilevato questo tipo di deriva.
{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }
Risoluzione
Poiché questa deriva si verifica OUs solo per Foundational, la risoluzione è quella di aggiornare la landing zone. Quando OUs vengono eliminati altri tipi di file, AWS Control Tower viene aggiornato automaticamente.
Per ulteriori informazioni sulla risoluzione di drift per gli account e OUs, consulta. Se gestisci risorse al di fuori di AWS Control Tower
Deriva di controllo CSPM del Security Hub
Questo tipo di deriva si verifica quando un controllo che fa parte del AWS Security Hub CSPM Service-Managed Standard: AWS Control Tower segnala uno stato di deriva. Il AWS Security Hub CSPM servizio stesso non segnala uno stato di deviazione per questi controlli. Il servizio invia invece i risultati ad AWS Control Tower.
La deriva di controllo di Security Hub CSPM può essere rilevata anche se AWS Control Tower non riceve un aggiornamento di stato da Security Hub CSPM da più di 24 ore. Se tali risultati non vengono ricevuti come previsto, AWS Control Tower verifica che il controllo stia andando alla deriva. L'esempio seguente mostra una notifica di deriva che potresti ricevere quando viene rilevato questo tipo di deriva.
{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "SH.XXXXXXX.1", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>". "Region" : "us-east-1" }
Risoluzione
Per OUs chi ha meno di 1000 account, la soluzione consigliata è chiamare l'ResetEnabledControlAPI per il controllo della deriva. Nella console, è possibile selezionare Re-register for the OU, che ripristina il controllo allo stato originale. In alternativa, per qualsiasi unità organizzativa, puoi rimuovere e riattivare il controllo tramite la console o AWS Control Tower APIs, che ripristina anche il controllo.
Per ulteriori informazioni sulla risoluzione di drift per gli account e, consulta. OUs Se gestisci risorse al di fuori di AWS Control Tower
Controlla la deriva delle politiche
Questo tipo di deriva si verifica quando un controllo implementato con politiche di controllo delle risorse (RCPs) o politiche dichiarative segnala uno stato di deriva. Restituisce uno stato diCONTROL_INEFFECTIVE, che è possibile visualizzare nella console AWS Control Tower e nel messaggio drift. Il messaggio di deriva per questo tipo di deriva include anche il messaggio EnabledControlIdentifier relativo al controllo interessato.
Questo tipo di deriva non viene segnalato per i controlli basati su SCP.
L'esempio seguente mostra una notifica di deriva che potresti ricevere quando viene rilevato questo tipo di deriva.
{ "Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.", "MasterAccountId": "123456789XXX", "ManagementAccountId": "123456789XXX", "OrganizationId": "o-123EXAMPLE", "DriftType": "CONTROL_INEFFECTIVE", "RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.", "TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567", "ControlId": "CT.XXXXXXX.PV.1", "ControlName": "EBS snapshots should not be publicly restorable", "ApiControlIdentifier": "arn:aws:controlcatalog:::control/<UNIQUE_ID>", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>" }
Risoluzione
La soluzione più semplice per la deriva delle policy di controllo sui controlli RCP, sui controlli delle policy dichiarative e sui controlli CSPM Security Hub abilitati in AWS Control Tower è chiamare l'API. ResetEnabledControl
Se hai meno OUs di 1000 account, un'altra soluzione della console o dell'API consiste nel registrare nuovamente l'unità organizzativa, che ripristina il controllo allo stato originale.
Per ogni singola unità organizzativa, puoi rimuovere e riattivare il controllo tramite la console o AWS Control Tower APIs, che ripristina anche il controllo.
Per ulteriori informazioni sulla risoluzione di drift per gli account e, consulta. OUs Se gestisci risorse al di fuori di AWS Control Tower
Accesso affidabile disabilitato
Questo tipo di deriva si applica alle zone di atterraggio di AWS Control Tower. Si verifica quando disabiliti l'accesso affidabile ad AWS Control Tower AWS Organizations dopo aver configurato la landing zone di AWS Control Tower.
Quando l'accesso affidabile è disabilitato, AWS Control Tower non riceve più eventi di modifica da AWS Organizations. AWS Control Tower si affida a questi eventi di modifica per rimanere sincronizzato. AWS Organizations Di conseguenza, AWS Control Tower potrebbe non rilevare modifiche organizzative negli account e OUs. Ecco perché è importante registrare nuovamente ogni unità organizzativa ogni volta che si aggiorna la landing zone.
Esempio: notifica di deriva
Di seguito è riportato un esempio della notifica di deriva che si riceve quando si verifica questo tipo di deriva.
{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }
Risoluzione
AWS Control Tower ti avvisa quando si verifica questo tipo di deriva nella console AWS Control Tower. La soluzione è reimpostare la landing zone di AWS Control Tower. Per ulteriori informazioni, consulta Resolving drift.
Deriva dell'ereditarietà sulle linee di base abilitate
Questo tipo di deriva può verificarsi a livello di AWS Control Tower OUs e degli account.
Risoluzione
AWS Control Tower ti avvisa quando si verifica questo tipo di deriva. Per quasi tutti i casi di modifica dell'ereditarietà, riceverai una notifica di deviazione per la modifica dell'account membro di Moved. Questo perché questo tipo di deviazione si verifica in genere quando un account viene spostato o quando un account non riesce a registrarsi.
Visualizza e risolvi il problema del drift nella console
Nella console AWS Control Tower, puoi visualizzare questo stato di deriva ereditato nella colonna Baseline state della pagina Organizations. La risoluzione della console è registrare nuovamente l'unità organizzativa o aggiornare l'account.
Visualizza e risolvi la deriva a livello di codice
Per visualizzare lo stato della deriva a livello di codice, puoi chiamare l'ListEnabledBaselinesAPI per visualizzare gli stati delle linee di base abilitate sul tuo. OUs Per visualizzare gli stati dei singoli account in modo programmatico con l'API, usa il flag. ListEnabledBaselines includeChildren
Puoi risolvere questo tipo di deriva a livello di codice, chiamando l'API. ResetEnabledBaseline
Variazione dell'ereditarietà sui controlli abilitati
Questo tipo di deriva può verificarsi a livello di AWS Control Tower OUs e degli account.
Risoluzione
AWS Control Tower ti avvisa quando si verifica questo tipo di deriva. Per quasi tutti i casi di modifica dell'ereditarietà, riceverai una notifica di deviazione per la modifica dell'account membro di Moved. Questo perché questo tipo di deviazione si verifica in genere quando un account viene spostato o quando un account non riesce a registrarsi.
Visualizza e risolvi il problema del drift nella console
Nella console AWS Control Tower, puoi visualizzare questo stato di deriva ereditato nella pagina Organizations, nella pagina Enabled controls e nella pagina dei dettagli dell'account. La soluzione della console è registrare nuovamente l'unità organizzativa o aggiornare l'account.
Visualizza e risolvi la deriva a livello di codice
Per visualizzare a livello di codice lo stato di deriva ereditato per i controlli abilitati, puoi chiamare l'ListEnabledControlsAPI per visualizzare gli stati dei controlli abilitati sul tuo. OUs Per visualizzare gli stati dei singoli account in modo programmatico con l'API, usa il flag. ListEnabledControls includeChildren
Puoi risolvere questo tipo di deriva ereditaria a livello di codice, chiamando l'API. ResetEnabledControl
EventBridge creazione
Nota
EventBridge è abilitato solo per i clienti con versioni LZ4 superiori a 0.
EventBridge Formato di esempio per AWS Control Tower
{ "version": "0", "id": "cd4d811e-ab12-322b-8255-872ce65b1bc8", "detail-type": "Drift Detected", "source": "aws.controltower", "account": "111122223333", "time": "2018-03-22T00:38:11Z", "region": "us-east-1", "resources": [], "detail": { "message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "managementAccountId" : "012345678912", "organizationId" : "o-123EXAMPLE", "driftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "remediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "accountId" : "012345678909", "sourceId" : "012345678909", "destinationId" : "ou-3210-1EXAMPLE" } }
Guida alla creazione di EventBridge regole per ricevere notifiche di deviazione:
Per creare una EventBridge regola per le notifiche di deriva
-
Apri la EventBridge console Amazon:
-
Nel pannello di navigazione, scegli Regole.
-
Scegli Crea regola.
-
Inserisci un nome e una descrizione per la regola.
-
Per Tipo di regola, scegli Regola con un modello di eventi.
-
Definisci l'origine dell'evento:
-
Per «Origine evento», seleziona AWS i servizi come origine dell'evento.
-
Per "nome AWS del servizio», seleziona AWS Control Tower.
-
Per «Tipo di evento», seleziona Drift Detected
-
-
Seleziona il bersaglio:
-
Per i tipi di destinazione, scegli il AWS servizio e per Seleziona una destinazione, scegli una destinazione come un argomento di notifica di deriva o una funzione Lambda. La destinazione viene attivata quando viene ricevuto un evento che corrisponde al modello di evento definito nella regola.
-
A seconda della destinazione selezionata, fornisci i dettagli di configurazione necessari, come il nome della funzione Lambda o l'argomento ARN per la notifica delle deviazioni.
-
-
Rivedi e crea la regola:
-
Rivedi i dettagli della regola e apporta le modifiche necessarie.
-
Quando sei soddisfatto, fai clic su Crea regola per salvare la nuova EventBridge regola.
-
Dopo aver creato la regola, inizierà il monitoraggio degli eventi AWS Control Tower specificati e attiverà l'azione target selezionata quando si verificano eventi di deriva.
