翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ガバナンスドリフトのタイプ
ガバナンスドリフトは組織ドリフトとも呼ばれ、OU、SCP、およびメンバーアカウントが変更または更新されたときに発生します。AWS Control Tower で検出できるガバナンスドリフトのタイプは次のとおりです。
アカウントと OU ガバナンスのドリフト
ランディングゾーンのドリフト
非 SCP コントロールのコントロールドリフト
ベースラインとコントロールの継承ドリフト
次のセクションでは、AWS Control Tower が報告するこれらのタイプのドリフトの詳細と、それらの解決方法を説明します。
注記
AWS Control Tower は、LZ4.0 以上のお客様の SNS トピックへのドリフト通知の送信を停止し、代わりに管理アカウントの EventBridge へのドリフト通知の送信を開始します。EventBridge を介してドリフト通知を受信する方法に関するサンプルイベントとガイダンスについては、EventBridge の作成に関する以下のセクションを参照してください。
アカウントと OU ガバナンスのドリフト
ランディングゾーンのドリフト
別のタイプのドリフトはランディングゾーンドリフトで、これは管理アカウントを通じて見られます。ランディングゾーンドリフトは、IAM ロールドリフト、または基礎 OU と共有アカウントに特に影響を与えるあらゆるタイプの組織ドリフトで構成されます。
ランディングゾーンドリフトの特殊なケースは、ロールドリフトで、必要なロールが利用できない場合に検出されます。このようなドリフトが発生すると、コンソールに警告ページと、ロールを復元する方法に関するいくつかの指示が表示されます。ロールドリフトが解決されるまで、ランディングゾーンは利用できません。ドリフトの詳細については、すぐに解決すべきドリフトのタイプ というセクションの「必要なロールを削除しない」を参照してください。
非 SCP コントロールのコントロールドリフト
AWS Control Tower は、リソースコントロールポリシー (RCP) で実装されたコントロール、宣言型ポリシー、およびAWS Security Hub CSPM サービスマネージドスタンダード: AWS Control Tower の一部であるコントロールに関するコントロールドリフトについて報告します。
ベースラインとコントロールの継承ドリフト
有効なベースラインドリフト
メンバーアカウントのベースライン設定が親 OU に適用されているものと異なる場合、AWS Control Tower はそれらの OU とアカウントで有効なベースライン (リソース設定) の継承ドリフトを報告します。ベースラインの詳細については、「ベースラインのタイプ」を参照してください。
-
有効なコントロールドリフト
メンバーアカウントの有効なコントロールの設定が親 OU に適用されているものと異なる場合、AWS Control Tower はそれらの OU とアカウントで有効なコントロールの継承ドリフトを報告します。
報告されないドリフト
-
AWS Control Tower は、Amazon CloudWatch、IAM Identity Center など AWS CloudTrail、管理アカウントで動作する他のサービスに関するドリフトを探しません CloudFormation AWS Config。
-
AWS Control Tower は、ベースラインに含まれるリソースを変更した場合に発生する可能性のあるリソースドリフト、または他の種類のドリフトを検出しません。
移動されたメンバーアカウント
注記
LZ 4.0 以降のお客様の場合、AWS Control Tower は AWSControlTowerBaseline なしで Account Factory アカウントの移動ドリフト通知を送信しません。
このタイプのドリフトは、OU ではなくアカウントで発生します。このタイプのドリフトは、AWS Control Tower メンバーアカウント、監査アカウント、またはログアーカイブアカウントが、登録された AWS Control Tower OU から他の OU に移動されたときに発生する可能性があります。多くの場合、[設定] ページでアカウントの自動登録機能を有効化すると、このタイプのドリフトを回避できます。詳細については、自動登録でアカウントを移動して登録するを参照してください。
このタイプのドリフトが検出された場合のドリフト通知の例を次に示します。
{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }
解決策
最大 1000 のアカウントを持つ OU の、Account Factory でプロビジョニングされたアカウントでこのタイプのドリフトが発生した場合は、次の方法で解決できます。
-
AWS Control Tower コンソールの [Organization] (組織) ページに移動し、アカウントを選択して、右上の [Update account] (アカウントの更新) を選択します (個々のアカウントでは最速のオプション)。
-
AWS Control Tower コンソールの [Organization] (組織) ページに移動して、アカウントを含まれている OU の [Re-register] (再登録) を選択します (複数のアカウントでは最速のオプション)。詳細については、「AWS Control Tower への既存の組織単位の登録」を参照してください。
-
Account Factory でプロビジョニングされた製品を更新する。詳細については、「AWS Control Tower でアカウントを更新して移動する」を参照してください。
注記
更新する個々のアカウントが複数ある場合は、スクリプト 自動化によるアカウントのプロビジョニングと更新 を使用して更新を行う方法も参照してください。
-
1000 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合、ドリフトの解決は、次の段落で説明するように、移動されたアカウントのタイプによって異なる場合があります。詳細については、「ランディングゾーンを更新する」を参照してください。
-
Account Factory でプロビジョニングされたアカウントが移動された場合 — アカウントが 1000 未満の OU では、Account Factory でプロビジョニングされた製品を更新するか、OU を再登録するか、ランディングゾーンを更新することで、アカウントドリフトを解決できます。
1,000 を超えるアカウントを持つ OU では、OU を再登録しても更新が実行されないため、AWS Control Tower コンソールまたはプロビジョニングされた製品のいずれかを使用して、移動した各アカウントを更新することによりドリフトを解決する必要があります。詳細については、「AWS Control Tower でアカウントを更新して移動する」を参照してください。
-
共有アカウントが移動された場合 — ランディングゾーンを更新することで、監査またはログアーカイブアカウントの移動によるドリフトを解決できます。詳細については、「ランディングゾーンを更新する」を参照してください。
-
廃止されたフィールド名
ガイドラインに準拠ManagementAccountIDするため、フィールド名MasterAccountIDは に変更されました AWS 。古い名前は廃止されました。2022 年以降、廃止されたフィールド名を含むスクリプトは機能していません。
削除されたメンバーアカウント
このタイプのドリフトは、登録された AWS Control Tower 組織ユニットからメンバーアカウントが削除されたときに発生する可能性があります。次の例は、このタイプのドリフトが検出されたときのドリフト通知を示しています。
{ "Message" : "AWS Control Tower has detected that the member account012345678909has been removed from organizationo-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }
解決策
-
このタイプのドリフトがメンバーアカウントで発生した場合は、AWS Control Tower コンソールまたは Account Factory でアカウントを更新することによりドリフトを解決できます。例えば、Account Factory の更新ウィザードから、別の登録された OU にアカウントを追加できます。詳細については、「AWS Control Tower でアカウントを更新して移動する」を参照してください。
-
共有アカウントが基礎 OU から削除された場合、ランディングゾーンをリセットしてドリフトを解決する必要があります。このドリフトが解決されるまで、AWS Control Tower コンソールを使用することはできません。
-
アカウントと OU のドリフトの解決の詳細については、「AWS Control Tower の外部でリソースを管理する場合」を参照してください。
注記
Service Catalog では、Account Factory でプロビジョニングされた製品のうちアカウントを表すものは、アカウントを削除するために更新されません。代わりに、プロビジョニングされた製品は TAINTED として表示され、エラー状態になります。クリーンアップするには、Service Catalog に移動し、プロビジョニングされた製品を選択してから、[Terminate] (終了) を選択します。
計画外のマネージド SCP の更新
このタイプのドリフトは、コントロールの SCP がコンソール AWS Organizations で更新されたとき、または AWS CLI またはいずれかの AWS SDKs を使用してプログラムで更新されたときに発生する可能性があります。このタイプのドリフトが検出された場合のドリフト通知の例を次に示します。
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
解決策
最大 1000 アカウントの OU でこのタイプのドリフトが発生した場合は、次の方法で解決できます。
-
AWS Control Tower コンソールで [Organization] ページに移動して OU を再登録する (最も時間がかからないオプション)。詳細については、「AWS Control Tower への既存の組織単位の登録」を参照してください。
-
ランディングゾーンを更新する (時間のかかるオプション)。詳細については、「ランディングゾーンを更新する」を参照してください。
1000 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合は、ランディングゾーンを更新して解決してください。詳細については、「ランディングゾーンを更新する」を参照してください。
マネージド OU からデタッチされた SCP
このタイプのドリフトは、AWS Control Tower によって管理される OU からコントロールの SCP がデタッチされた場合に発生する可能性があります。AWS Control Tower コンソールの外部から作業している場合に発生するのが特に一般的です。このタイプのドリフトが検出された場合のドリフト通知の例を次に示します。
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
解決策
最大 1000 アカウントの OU でこのタイプのドリフトが発生した場合は、次の方法で解決できます。
-
AWS Control Tower コンソールで OU に移動して OU を再登録する (最も時間がかからないオプション)。詳細については、「AWS Control Tower への既存の組織単位の登録」を参照してください。
-
ランディングゾーンを更新する (時間のかかるオプション)。ドリフトが必須コントロールに影響を与えている場合、更新プロセスによって新しいサービスコントロールポリシー (SCP) が作成され、それを OU にアタッチすることでドリフトを解決します。ランディングゾーンを更新する方法については、「ランディングゾーンを更新する」を参照してください。
1000 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合は、ランディングゾーンを更新して解決してください。ドリフトが必須コントロールに影響を与えている場合、更新プロセスによって新しいサービスコントロールポリシー (SCP) が作成され、それを OU にアタッチすることでドリフトを解決します。ランディングゾーンを更新する方法については、「ランディングゾーンを更新する」を参照してください。
削除された基礎 OU
このタイプのドリフトは、セキュリティ OU などの AWS Control Tower の基礎 OU にのみ適用されます。これは、AWS Control Tower コンソールの外部で基礎 OU が削除された場合に発生する可能性があります。このタイプのドリフトを発生させずに基礎 OU を移動することはできません。OU の移動は、OU を削除してから別の場所に追加するのと同じだからです。ランディングゾーンを更新してドリフトを解決すると、AWS Control Tower は元の場所にある基礎 OU を置き換えます。次の例は、このタイプのドリフトが検出されたときに受け取る可能性のあるドリフト通知を示しています。
{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }
解決策
このドリフトは基礎 OU に対してのみ発生するため、ランディングゾーンを更新することで解決できます。他のタイプの OU が削除されると、AWS Control Tower は自動的に更新されます。
アカウントと OU のドリフトの解決の詳細については、「AWS Control Tower の外部でリソースを管理する場合」を参照してください。
Security Hub CSPM コントロールドリフト
このタイプのドリフトは、AWS Security Hub CSPM サービスマネージドスタンダード: AWS Control Tower に含まれるコントロールがドリフト状態を報告したときに発生します。 AWS Security Hub CSPM サービス自体は、これらのコントロールのドリフト状態を報告しません。代わりに、サービスは検出結果を AWS Control Tower に送信します。
Security Hub CSPM コントロールドリフトは、AWS Control Tower が Security Hub CSPM から 24 時間以上ステータス更新を受信していない場合にも検出できます。検出結果が正常に受信されない場合、AWS Control Tower はコントロールのドリフトが発生していないかどうかを確認します。次の例は、このタイプのドリフトが検出されたときに受け取る可能性のあるドリフト通知を示しています。
{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "SH.XXXXXXX.1", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>". "Region" : "us-east-1" }
解決策
アカウント数が 1000 未満の OU、推奨される解決策は、ドリフトされたコントロールに対して ResetEnabledControl API を呼び出すことです。コンソールで、OU の再登録を選択すると、コントロールが元の状態にリセットされます。または、どの OU でも、コンソールまたは AWS Control Tower API を使用して、コントロールを削除して再度有効にすることができます。これにより、コントロールもリセットされます。
アカウントと OU のドリフトの解決の詳細については、「AWS Control Tower の外部でリソースを管理する場合」を参照してください。
コントロールポリシードリフト
このタイプのドリフトは、リソースコントロールポリシー (RCP) または宣言型ポリシーで実装されたコントロールがドリフトの状態をレポートするときに発生します。これは、AWS Control Tower コンソールとドリフトメッセージで表示できる CONTROL_INEFFECTIVE の状態を返します。このタイプのドリフトのドリフトメッセージには、影響を受けるコントロールの EnabledControlIdentifier も含まれます。
このタイプのドリフトは、SCP ベースのコントロールでは報告されません。
次の例は、このタイプのドリフトが検出されたときに受け取る可能性のあるドリフト通知を示しています。
{ "Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.", "MasterAccountId": "123456789XXX", "ManagementAccountId": "123456789XXX", "OrganizationId": "o-123EXAMPLE", "DriftType": "CONTROL_INEFFECTIVE", "RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.", "TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567", "ControlId": "CT.XXXXXXX.PV.1", "ControlName": "EBS snapshots should not be publicly restorable", "ApiControlIdentifier": "arn:aws:controlcatalog:::control/<UNIQUE_ID>", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>" }
解決策
AWS Control Tower で有効になっている RCP コントロール、宣言型ポリシーコントロール、Security Hub CSPM コントロールに対するコントロールポリシードリフトの最も簡単な解決策は、 ResetEnabledControl API を呼び出すことです。
アカウント数が 1000 未満の OU の場合、コンソールまたは API からの他の解決策は OU を再登録することです。これにより、コントロールは元の状態にリセットされます。
どの個々の OU でも、コンソールまたは AWS Control Tower API を使用して、コントロールを削除して再度有効にすることができます。これにより、コントロールもリセットされます。
アカウントと OU のドリフトの解決の詳細については、「AWS Control Tower の外部でリソースを管理する場合」を参照してください。
信頼されたアクセスの無効化
このタイプのドリフトは、AWS Control Tower のランディングゾーンに適用されます。これは、AWS Control Tower ランディングゾーンを設定 AWS Organizations した後に、 で AWS Control Tower への信頼されたアクセスを無効にしたときに発生します。
信頼できるアクセスを無効にすると、AWS Control Tower は AWS Organizationsから変更イベントを受信しなくなります。AWS Control Tower は、これらの変更イベントを使用して同期を維持します AWS Organizations。その結果、AWS Control Tower はアカウントと OU の組織的な変更を見逃す可能性があります。そのため、ランディングゾーンを更新するたびに、各 OU を再登録することが重要です。
例: ドリフト通知
このタイプのドリフトが発生したときに受け取るドリフト通知の例を次に示します。
{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }
解決策
この種のドリフトが AWS Control Tower コンソールで発生すると、AWS Control Tower から通知されます。解決策は、AWS Control Tower のランディングゾーンをリセットすることです。詳細については、「ドリフトの解決」を参照してください。
有効なベースラインでの継承ドリフト
このタイプのドリフトは、AWS Control Tower の OU とアカウントで発生する可能性があります。
解決策
このタイプのドリフトが発生すると、AWS Control Tower から通知されます。継承ドリフトのほぼすべてのケースで、移動したメンバーアカウントのドリフトに関するドリフト通知を受け取ります。これは、通常、アカウントが移動されたとき、またはアカウントが登録に失敗したときに、このタイプのドリフトが発生するためです。
コンソールでドリフトを表示し、解決する
AWS Control Tower コンソールで、[組織] ページの [ベースライン状態] 列にこの継承されたドリフトステータスを表示できます。コンソールからの解決策は、OU を再登録するか、アカウントを更新することです。
プログラムを使用してドリフトを表示し、解決する
ドリフトステータスをプログラムで表示するには、ListEnabledBaselines API を呼び出して、OU の有効なベースラインのステータスを表示します。ListEnabledBaselines API を使用して個々のアカウントのステータスをプログラムで表示するには、includeChildren フラグを使用します。
このタイプのドリフトは、ResetEnabledBaseline API を呼び出すことでプログラムで解決できます。
有効なコントロールの継承ドリフト
このタイプのドリフトは、AWS Control Tower の OU とアカウントで発生する可能性があります。
解決策
このタイプのドリフトが発生すると、AWS Control Tower から通知されます。継承ドリフトのほぼすべてのケースで、移動したメンバーアカウントのドリフトに関するドリフト通知を受け取ります。これは、通常、アカウントが移動されたとき、またはアカウントが登録に失敗したときに、このタイプのドリフトが発生するためです。
コンソールでドリフトを表示し、解決する
AWS Control Tower コンソールでは、[組織] ページ、[有効化されたコントロール] ページ、[アカウントの詳細] ページで、この継承されたドリフトステータスを表示できます。コンソールからの解決策は、OU を再登録するか、アカウントを更新することです。
プログラムを使用してドリフトを表示し、解決する
有効なコントロールの継承されたドリフトステータスをプログラムで表示するには、ListEnabledControls API を呼び出して、OU の有効なコントロールのステータスを表示します。ListEnabledControls API を使用して個々のアカウントのステータスをプログラムで表示するには、includeChildren フラグを使用します。
このタイプの継承ドリフトは、ResetEnabledControl API を呼び出すことでプログラムで解決できます。
EventBridge の作成
注記
EventBridge は LZ4.0 以上のお客様に対してのみ有効です。
AWS Control Tower の EventBridge 形式の例
{ "version": "0", "id": "cd4d811e-ab12-322b-8255-872ce65b1bc8", "detail-type": "Drift Detected", "source": "aws.controltower", "account": "111122223333", "time": "2018-03-22T00:38:11Z", "region": "us-east-1", "resources": [], "detail": { "message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "managementAccountId" : "012345678912", "organizationId" : "o-123EXAMPLE", "driftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "remediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "accountId" : "012345678909", "sourceId" : "012345678909", "destinationId" : "ou-3210-1EXAMPLE" } }
ドリフト通知を受信するための EventBridge ルールを作成するガイダンス:
ドリフト通知の EventBridge ルールを作成するには
-
Amazon EventBridge コンソールを開きます。
-
ナビゲーションペインで [ルール] を選択します。
-
[ルールの作成] を選択します。
-
ルールの名前と説明を入力します。
-
[ルールタイプ] で、[イベントパターンを持つルール] を選択してください。
-
イベントソースを定義します。
-
「イベントソース」で、イベントソースとして AWS サービスを選択します。
-
AWS 「サービス名」で、AWS Control Tower を選択します。
-
「イベントタイプ」で、ドリフト検出を選択
-
-
ターゲットを選択します。
-
ターゲットタイプでAWS サービスを選択し、ターゲットの選択でドリフト通知トピックや Lambda 関数などのターゲットを選択します。ターゲットは、ルールで定義したイベントパターンに一致するイベントが返されたときにトリガーされます。
-
選択したターゲットに応じて、Lambda 関数名やドリフト通知トピック ARN など、必要な設定の詳細を指定します。
-
-
ルールを確認して作成します。
-
ルールの詳細を確認し、必要な変更を加えます。
-
問題がなければ、ルールの作成をクリックして新しい EventBridge ルールを保存します。
-
ルールを作成すると、指定された AWS Control Tower イベントのモニタリングが開始され、ドリフトイベントが発生したときに選択したターゲットアクションがトリガーされます。
