거버넌스 드리프트 유형 - AWS Control Tower란
이동된 멤버 계정제거된 멤버 계정관리형 SCP에 대한 계획되지 않은 업데이트관리형 OU에서 분리된 SCP삭제된 기본 OUSecurity Hub CSPM 제어 드리프트제어 정책 드리프트신뢰할 수 있는 액세스 비활성화활성화된 기준의 상속 드리프트활성화된 제어의 상속 드리프트EventBridge 생성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

거버넌스 드리프트 유형

거버넌스 드리프트는 조직 드리프트라고도 하며 OU, SCP 및 멤버 계정이 변경되거나 업데이트될 때 발생합니다. AWS Control Tower에서 감지할 수 있는 거버넌스 드리프트 유형은 다음과 같습니다.

  • 계정 및 OU 거버넌스 드리프트

  • 랜딩 존 드리프트

  • 비 SCP 제어에 대한 제어 드리프트

  • 기준 및 제어에 대한 상속 드리프트

다음 섹션에서는 AWS Control Tower가 보고하는 이러한 유형의 드리프트와 이를 해결하는 방법에 대한 세부 정보를 제공합니다.

참고

AWS Control Tower는 LZ4.0+ 고객의 SNS 주제에 대한 드리프트 알림 전송을 중지하고 대신 관리 계정의 EventBridge에 드리프트 알림 전송을 시작합니다. EventBridge를 통해 드리프트 알림을 수신하는 방법에 대한 샘플 이벤트 및 지침을 보려면 EventBridge 생성에 대한 아래 섹션을 참조하세요.

계정 및 OU 거버넌스 드리프트

랜딩 존 드리프트

또 다른 유형의 드리프트는 랜딩 존 드리프트로, 관리 계정을 통해 찾아볼 수 있습니다. 랜딩 존 드리프트는 IAM 역할 드리프트 또는 기본 OU 및 공유 계정에 특별히 영향을 미치는 모든 유형의 조직 드리프트로 구성됩니다.

랜딩 존 드리프트의 특별한 경우는 역할 드리프트로, 필요한 역할을 사용할 수 없을 때 감지됩니다. 이러한 유형의 드리프트가 발생하면 콘솔에 경고 페이지와 역할을 복원하는 방법에 대한 몇 가지 지침이 표시됩니다. 역할 드리프트가 해결될 때까지 랜딩 존을 사용할 수 없습니다. 드리프트에 대한 자세한 내용은 즉시 해결해야 할 드리프트 유형 섹션에서 필수 역할 삭제 금지를 참조하세요.

비 SCP 제어에 대한 제어 드리프트

AWS Control Tower는 AWS Security Hub CSPM서비스 관리형 표준: AWS Control Tower에 포함된 리소스 제어 정책(RCP), 선언적 정책 및 제어로 구현된 제어와 관련된 제어 드리프트를 보고합니다.

기준 및 제어에 대한 상속 드리프트

  • 활성화된 기준 드리프트

    멤버 계정의 기준 구성이 상위 OU에 적용된 것과 다른 경우 AWS Control Tower는 해당 OU 및 계정에서 활성화된 기준(리소스 구성)에 대한 상속 드리프트를 보고합니다. 기준에 대한 자세한 내용은 기준 유형을 참조하세요.

  • 활성화된 제어 드리프트

    멤버 계정에서 활성화된 제어 구성이 상위 OU에 적용된 구성과 다른 경우 AWS Control Tower는 해당 OU 및 계정에서 활성화된 제어에 대한 상속 드리프트를 보고합니다.

보고되지 않은 드리프트

  • AWS Control Tower는 Amazon CloudWatch AWS CloudTrail, IAM Identity Center 등을 포함하여 관리 계정으로 작동하는 다른 서비스와 관련된 드리프트CloudFormationAWS Config를 찾지 않습니다.

  • AWS Control Tower는 기준에 포함된 리소스를 수정할 경우 발생할 수 있는 리소스 드리프트 또는 기타 종류의 드리프트를 감지하지 않습니다.

이동된 멤버 계정

참고

LZ 4.0 이상을 사용하는 고객의 경우 AWS Control Tower는 AWSControlTowerBaseline이 없는 Account Factory 계정에 대한 이동 계정 드리프트 알림을 보내지 않습니다.

이러한 유형의 드리프트는 OU가 아닌 계정에서 발생합니다. 이러한 유형의 드리프트는 AWS Control Tower 멤버 계정, 감사 계정 또는 로그 아카이브 계정이 등록된 AWS Control Tower OU에서 다른 OU로 이동할 때 발생할 수 있습니다. 대부분의 경우 설정 페이지에서 계정 자동 등록 기능을 활성화하면 이러한 유형의 드리프트를 방지할 수 있습니다. 자세한 내용은 자동 등록을 사용하여 계정 이동 및 등록 섹션을 참조하세요.

다음은 이러한 유형의 드리프트가 감지될 때 드리프트 알림의 예입니다.


{
  "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
  "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.",
  "AccountId" : "012345678909",
  "SourceId" : "012345678909",
  "DestinationId" : "ou-3210-1EXAMPLE"
}

해결 방법

최대 1,000개의 계정이 있는 OU의 Account Factory 프로비저닝 계정에 대해 이러한 유형의 드리프트가 발생하면 다음을 통해 해결할 수 있습니다.

  • AWS Control Tower 콘솔의 조직 페이지로 이동하여 계정을 선택한 다음 오른쪽 상단의 계정 업데이트를 선택합니다(개별 계정에 대해 가장 빠른 옵션).

  • AWS Control Tower 콘솔의 조직 페이지로 이동한 다음 계정이 포함된 OU에 대해 재등록을 선택합니다(여러 계정에 대해 가장 빠른 옵션). 자세한 내용은 AWS Control Tower에 기존 조직 단위 등록 섹션을 참조하세요.

  • Account Factory에서 프로비저닝된 제품을 업데이트합니다. 자세한 내용은 AWS Control Tower를 사용하여 계정 업데이트 및 이동 섹션을 참조하세요.

    참고

    업데이트할 개별 계정이 여러 개 있는 경우 스크립트로 업데이트하는 방법은 자동화를 사용하여 계정 프로비저닝 및 업데이트 섹션도 참조하세요.

  • 1,000개 이상의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하는 경우 다음 단락에 설명된 대로 이동된 계정 유형에 따라 드리프트 처리가 달라질 수 있습니다. 자세한 내용은 랜딩 존 업데이트 섹션을 참조하세요.

    • Account Factory 프로비저닝 계정이 이동된 경우 - 계정이 1,000개 미만인 OU에서 Account Factory에서 프로비저닝된 제품을 업데이트하거나, OU를 재등록하거나, 랜딩 존을 업데이트하여 계정 드리프트를 해결할 수 있습니다.

      계정이 1,000개 이상인 OU에서는 OU를 재등록해도 업데이트가 수행되지 않으므로, AWS Control Tower 콘솔 또는 프로비저닝된 제품을 통해 이동된 각 계정을 업데이트하여 드리프트를 해결해야 합니다. 자세한 내용은 AWS Control Tower를 사용하여 계정 업데이트 및 이동 단원을 참조하십시오.

    • 공유 계정이 이동된 경우 – 랜딩 존을 업데이트하여 감사 또는 로그 아카이브 계정 이동으로 인한 드리프트를 해결할 수 있습니다. 자세한 내용은 랜딩 존 업데이트 섹션을 참조하세요.

더 이상 사용되지 않는 필드 이름

AWS지침을 준수하기 ManagementAccountID 위해 필드 이름이 MasterAccountID 로 변경되었습니다. 이전 이름은 더 이상 사용되지 않습니다. 2022년부터 사용되지 않는 필드 이름이 포함된 스크립트는 더 이상 작동하지 않습니다.

제거된 멤버 계정

이러한 유형의 드리프트는 등록된 AWS Control Tower 조직 단위에서 멤버 계정이 제거될 때 발생할 수 있습니다. 다음 예제에서는 이러한 유형의 드리프트가 감지될 때 드리프트 알림을 보여줍니다.


{
  "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION",
  "RemediationStep" : "Add account to Organization and update Account Factory provisioned product",
  "AccountId" : "012345678909"
}

해결 방법

  • 멤버 계정에서 이러한 유형의 드리프트가 발생하면 AWS Control Tower 콘솔 또는 Account Factory에서 계정을 업데이트하여 드리프트를 해결할 수 있습니다. 예를 들어, Account Factory 업데이트 마법사에서 등록된 다른 OU에 계정을 추가할 수 있습니다. 자세한 내용은 AWS Control Tower를 사용하여 계정 업데이트 및 이동 섹션을 참조하세요.

  • 기본 OU에서 공유 계정이 제거된 경우 랜딩 존을 재설정하여 드리프트를 해결해야 합니다. 이 드리프트가 해결될 때까지 AWS Control Tower 콘솔을 사용할 수 없습니다.

  • 계정 및 OU 드리프트를 해결하는 방법에 대한 자세한 내용은 AWS Control Tower 외부에서 리소스를 관리하는 경우 섹션을 참조하세요.

참고

Service Catalog에서 계정을 나타내는 Account Factory 프로비저닝 제품은 계정을 제거하도록 업데이트되지 않습니다. 대신 프로비저닝된 제품이 TAINTED 및 오류 상태로 표시됩니다. 정리하려면 Service Catalog로 이동하여 프로비저닝된 제품을 선택한 다음 종료를 선택합니다.

관리형 SCP에 대한 계획되지 않은 업데이트

이러한 유형의 드리프트는 제어용 SCP가 콘솔에서AWS Organizations업데이트되거나AWS CLI또는 AWS SDKs. 다음은 이러한 유형의 드리프트가 감지될 때 드리프트 알림의 예입니다.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_UPDATED",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

해결 방법

최대 1,000개의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 다음을 통해 해결할 수 있습니다.

1,000개 이상의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 랜딩 존을 업데이트하여 해결합니다. 자세한 내용은 랜딩 존 업데이트 섹션을 참조하세요.

관리형 OU에서 분리된 SCP

이러한 유형의 드리프트는 제어용 SCP가 AWS Control Tower에서 관리하는 OU에서 분리되었을 때 발생할 수 있습니다. 이는 AWS Control Tower 콘솔 외부에서 작업할 때 특히 흔히 일어납니다. 다음은 이러한 유형의 드리프트가 감지될 때 드리프트 알림의 예입니다.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_DETACHED_FROM_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

해결 방법

최대 1,000개의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 다음을 통해 해결할 수 있습니다.

  • AWS Control Tower 콘솔에서 OU로 이동하여 OU를 재등록합니다(가장 빠른 옵션). 자세한 내용은 AWS Control Tower에 기존 조직 단위 등록 섹션을 참조하세요.

  • 랜딩 존을 업데이트합니다(느린 옵션). 드리프트가 필수 제어에 영향을 미치는 경우 업데이트 프로세스는 새 서비스 제어 정책(SCP)을 생성하고 이를 OU에 연결하여 드리프트를 해결합니다. 랜딩 존을 업데이트하는 방법에 대한 자세한 내용은 랜딩 존 업데이트 섹션을 참조하세요.

1,000개 이상의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 랜딩 존을 업데이트하여 해결합니다. 드리프트가 필수 제어에 영향을 미치는 경우 업데이트 프로세스는 새 서비스 제어 정책(SCP)을 생성하고 이를 OU에 연결하여 드리프트를 해결합니다. 랜딩 존을 업데이트하는 방법에 대한 자세한 내용은 랜딩 존 업데이트 섹션을 참조하세요.

삭제된 기본 OU

이 유형의 드리프트는 보안 OU와 같은 AWS Control Tower 기본 OU에만 적용됩니다. AWS Control Tower 콘솔 외부에서 기본 OU를 삭제하는 경우 발생할 수 있습니다. 기본 OU는 이러한 유형의 드리프트를 생성하지 않고는 이동할 수 없습니다. OU를 이동하는 것은 삭제한 후 다른 곳에 추가하는 것과 마찬가지이기 때문입니다. 랜딩 존을 업데이트하여 드리프트를 해결하면 AWS Control Tower가 원래 위치의 기본 OU를 대체합니다. 다음 예제는 이러한 유형의 드리프트가 감지될 때 수신할 수 있는 드리프트 알림을 보여줍니다.


{
  "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ORGANIZATIONAL_UNIT_DELETED",
  "RemediationStep" : "Delete organizational unit in Control Tower",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE"
}

해결 방법

이 드리프트는 기본 OU에서만 발생하므로, 해결 방법은 랜딩 존을 업데이트하는 것입니다. 다른 유형의 OU가 삭제되면 AWS Control Tower가 자동으로 업데이트됩니다.

계정 및 OU 드리프트를 해결하는 방법에 대한 자세한 내용은 AWS Control Tower 외부에서 리소스를 관리하는 경우 섹션을 참조하세요.

Security Hub CSPM 제어 드리프트

이러한 유형의 드리프트는 AWS Security Hub CSPM서비스 관리형 표준: AWS Control Tower의 일부인 제어가 드리프트 상태를 보고할 때 발생합니다.AWS Security Hub CSPM서비스 자체는 이러한 제어에 대한 드리프트 상태를 보고하지 않습니다. 대신 서비스는 AWS Control Tower로 조사 결과를 전송합니다.

AWS Control Tower가 24시간 이상 Security Hub CSPM으로부터 상태 업데이트를 받지 못한 경우에도 Security Hub CSPM 제어 드리프트를 감지할 수 있습니다. 이러한 조사 결과가 예상대로 수신되지 않으면 AWS Control Tower는 제어가 드리프트 상태인지 확인합니다. 다음 예제는 이러한 유형의 드리프트가 감지될 때 수신할 수 있는 드리프트 알림을 보여줍니다.

{
"Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard",
"MasterAccountId" : "123456789XXX",
"ManagementAccountId" : "123456789XXX",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SECURITY_HUB_CONTROL_DISABLED",
"RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.",
"AccountId" : "7876543219XXX",
"ControlId" : "SH.XXXXXXX.1",
"ControlName" : "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB",
"EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>".
"Region" : "us-east-1"
}

해결 방법

계정이 1,000개 미만인 OU의 경우 권장되는 해결 방법은 드리프트된 제어에 대해 ResetEnabledControl API를 직접 호출하는 것입니다. 콘솔에서 해당 OU에 대해 재등록을 선택하면 제어가 원래 상태로 재설정됩니다. 모든 OU에 대해 콘솔 또는 AWS Control Tower API를 통해 제어를 제거했다가 다시 활성화할 수 있습니다. 이 API는 제어를 재설정하기도 합니다.

계정 및 OU 드리프트를 해결하는 방법에 대한 자세한 내용은 AWS Control Tower 외부에서 리소스를 관리하는 경우 섹션을 참조하세요.

제어 정책 드리프트

이러한 유형의 드리프트는 리소스 제어 정책(RCP) 또는 선언적 정책으로 구현된 제어가 드리프트 상태를 보고할 때 발생합니다. 이 드리프트는 AWS Control Tower 콘솔과 드리프트 메시지에서 볼 수 있는 CONTROL_INEFFECTIVE 상태를 반환합니다. 이 유형의 드리프트에 대한 드리프트 메시지에는 영향을 받는 제어에 대한 EnabledControlIdentifier도 포함됩니다.

SCP 기반 제어에서는 이러한 유형의 드리프트가 보고되지 않습니다.

다음 예제는 이러한 유형의 드리프트가 감지될 때 수신할 수 있는 드리프트 알림을 보여줍니다.

{
    "Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.",
    "MasterAccountId": "123456789XXX",
    "ManagementAccountId": "123456789XXX",
    "OrganizationId": "o-123EXAMPLE",
    "DriftType": "CONTROL_INEFFECTIVE",
    "RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.",
    "TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567",
    "ControlId": "CT.XXXXXXX.PV.1",
    "ControlName": "EBS snapshots should not be publicly restorable",
    "ApiControlIdentifier": "arn:aws:controlcatalog:::control/<UNIQUE_ID>",
    "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>"
}

해결 방법

AWS Control Tower에서 활성화된 RCP 제어, 선언적 정책 제어 및 Security Hub CSPM 제어의 제어 정책 드리프트에 대한 가장 쉬운 해결 방법은 ResetEnabledControl API를 호출하는 것입니다.

계정이 1,000개 미만인 OU의 경우, 콘솔 또는 API를 이용한 또 다른 해결 방법은 OU를 재등록하여 제어를 원래 상태로 재설정하는 것입니다.

모든 개별 OU에 대해 콘솔 또는 AWS Control Tower API를 통해 제어를 제거했다가 다시 활성화할 수 있습니다. 이 API는 제어를 재설정하기도 합니다.

계정 및 OU 드리프트를 해결하는 방법에 대한 자세한 내용은 AWS Control Tower 외부에서 리소스를 관리하는 경우 섹션을 참조하세요.

신뢰할 수 있는 액세스 비활성화

이 유형의 드리프트는 AWS Control Tower 랜딩 존에 적용됩니다. AWS Control Tower 랜딩 존을 설정한AWS Organizations후에서 AWS Control Tower에 대한 신뢰할 수 있는 액세스를 비활성화할 때 발생합니다.

신뢰할 수 있는 액세스가 비활성화되면 AWS Control Tower는 더 이상AWS Organizations에서 변경 이벤트를 수신하지 않습니다. AWS Control Tower는 이러한 변경 이벤트를 사용하여 동기화된 상태를 유지합니다AWS Organizations. 그 결과, AWS Control Tower는 계정 및 OU의 조직 변경 사항을 놓칠 수 있습니다. 따라서 랜딩 존을 업데이트할 때마다 각 OU를 재등록하는 것이 중요합니다.

예: 드리프트 알림

다음은 이러한 유형의 드리프트가 발생할 때 수신하는 드리프트 알림의 예입니다.

{
  "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "TRUSTED_ACCESS_DISABLED",
  "RemediationStep" : "Reset Control Tower landing zone."
}

해결 방법

AWS Control Tower 콘솔에서 이러한 유형의 드리프트가 발생할 때 AWS Control Tower에서 이를 알립니다. 해결 방법은 AWS Control Tower 랜딩 존을 재설정하는 것입니다. 자세한 내용은 드리프트 해결을 참조하세요.

활성화된 기준의 상속 드리프트

이러한 유형의 드리프트는 AWS Control Tower OU 및 계정에서 발생할 수 있습니다.

해결 방법

이러한 유형의 드리프트가 발생할 때 AWS Control Tower는 이를 알립니다. 거의 모든 상속 드리프트의 경우 이동된 멤버 계정 드리프트에 대한 드리프트 알림을 받게 됩니다. 이러한 유형의 드리프트는 일반적으로 계정이 이동되었거나 계정 등록에 실패할 때 발생하기 때문입니다.

콘솔에서 드리프트 보기 및 해결

AWS Control Tower 콘솔 내 조직 페이지의 기준 상태 열에서 이러한 상속된 드리프트 상태를 볼 수 있습니다. 콘솔에서 해결하는 방법은 OU를 다시 등록하거나 계정을 업데이트하는 것입니다.

프로그래밍 방식으로 드리프트 보기 및 해결

프로그래밍 방식으로 드리프트 상태를 보려면 ListEnabledBaselines API를 직접 호출하여 OU에서 활성화된 기준의 상태를 볼 수 있습니다. ListEnabledBaselines API를 사용하여 프로그래밍 방식으로 개별 계정의 상태를 보려면 includeChildren 플래그를 사용합니다.

ResetEnabledBaseline API를 직접 호출하여 프로그래밍 방식으로 이러한 유형의 드리프트를 해결할 수 있습니다.

활성화된 제어의 상속 드리프트

이러한 유형의 드리프트는 AWS Control Tower OU 및 계정에서 발생할 수 있습니다.

해결 방법

이러한 유형의 드리프트가 발생할 때 AWS Control Tower는 이를 알립니다. 거의 모든 상속 드리프트의 경우 이동된 멤버 계정 드리프트에 대한 드리프트 알림을 받게 됩니다. 이러한 유형의 드리프트는 일반적으로 계정이 이동되었거나 계정 등록에 실패할 때 발생하기 때문입니다.

콘솔에서 드리프트 보기 및 해결

AWS Control Tower 콘솔의 조직 페이지, 활성화된 제어 페이지 및 계정 세부 정보 페이지에서 이러한 상속된 드리프트 상태를 볼 수 있습니다. 콘솔에서 해결하는 방법은 OU를 다시 등록하거나 계정을 업데이트하는 것입니다.

프로그래밍 방식으로 드리프트 보기 및 해결

활성화된 제어의 상속된 드리프트 상태를 프로그래밍 방식으로 보려면 ListEnabledControls API를 직접 호출하여 OU에서 활성화된 제어의 상태를 볼 수 있습니다. ListEnabledControls API를 사용하여 프로그래밍 방식으로 개별 계정의 상태를 보려면 includeChildren 플래그를 사용합니다.

ResetEnabledControl API를 직접 호출하여 프로그래밍 방식으로 이러한 유형의 상속 드리프트를 해결할 수 있습니다.

EventBridge 생성

참고

EventBridge는 LZ4.0+ 고객에게만 활성화됩니다.

AWS Control Tower의 EventBridge 형식 예


{
   "version": "0",   
   "id": "cd4d811e-ab12-322b-8255-872ce65b1bc8",   
   "detail-type": "Drift Detected",   
   "source": "aws.controltower",   
   "account": "111122223333",   
   "time": "2018-03-22T00:38:11Z",   
   "region": "us-east-1",   
   "resources": [],   
   "detail": {   
       "message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
       "managementAccountId" : "012345678912",  
       "organizationId" : "o-123EXAMPLE",   
       "driftType" : "ACCOUNT_MOVED_BETWEEN_OUS",   
       "remediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.",   
       "accountId" : "012345678909",
       "sourceId" : "012345678909",
       "destinationId" : "ou-3210-1EXAMPLE"
   } 
}

드리프트 알림을 수신하기 위한 EventBridge 규칙을 생성하는 지침:

드리프트 알림에 대한 EventBridge 규칙을 생성하려면

  1. Amazon EventBridge 콘솔을 엽니다.

  2. 탐색 창에서 규칙을 선택합니다.

  3. 규칙 생성을 선택합니다.

  4. 규칙에 대해 이름과 설명을 입력하세요.

  5. 규칙 유형에서 이벤트 패턴이 있는 규칙을 생성합니다.

  6. 이벤트 소스 정의:

    • "이벤트 소스"에서 AWS서비스를 이벤트 소스로 선택합니다.

    • “AWS서비스 이름”에서 AWS Control Tower를 선택합니다.

    • "이벤트 유형"에서 드리프트 감지됨을 선택합니다.

  7. 대상을 선택합니다.

    • 대상 유형에서 AWS서비스를 선택하고 대상 선택에서 드리프트 알림 주제 또는 Lambda 함수와 같은 대상을 선택합니다. 규칙에 정의된 이벤트 패턴과 일치하는 이벤트를 수신할 때 대상이 트리거됩니다.

    • 선택한 대상에 따라 Lambda 함수 이름 또는 드리프트 알림 주제 ARN과 같은 필요한 구성 세부 정보를 제공합니다.

  8. 규칙 검토 및 생성:

    • 규칙의 세부 정보를 검토하고 필요한 사항을 변경합니다.

    • 만족하면 규칙 생성을 클릭하여 새 EventBridge 규칙을 저장합니다.

규칙을 생성한 후 지정된 AWS Control Tower 이벤트에 대한 모니터링을 시작하고 드리프트 이벤트가 발생할 때 선택한 대상 작업을 트리거합니다.