Detectar e resolver desvios no AWS Control Tower - AWS Control Tower
Detectar desviosConsiderações sobre verificações de desvio e políticaTipos de desvio a serem resolvidos imediatamenteAlterações reparáveis em recursosDesvio e provisionamento de contas

Detectar e resolver desvios no AWS Control Tower

Identificar e resolver desvios é uma tarefa de operações regulares para administradores de contas de gerenciamento do AWS Control Tower. Resolver desvios ajuda a garantir a conformidade com os requisitos de governança.

Quando você cria a zona de pouso, tanto ela como todas as unidades organizacionais (UOs), contas e recursos estão em conformidade com as regras de governança impostas pelos controles escolhidos. À medida que você e os membros da organização usam a zona de pouso, podem ocorrer alterações no status de conformidade. Algumas mudanças podem ser acidentais e algumas podem ser feitas intencionalmente para responder a eventos operacionais sensíveis ao tempo.

A detecção de oscilações ajuda a identificar recursos que precisam de alterações ou atualizações de configuração para resolver a oscilação.

Detectar desvios

O AWS Control Tower detecta o desvio automaticamente. Para detectar desvios, o perfil AWSControlTowerAdmin exige acesso persistente à conta de gerenciamento para que o AWS Control Tower possa fazer chamadas de API somente para leitura ao AWS Organizations. Essas chamadas de API aparecem como eventos do AWS CloudTrail.

O desvio para uma conta de membro aparece nas notificações do Amazon Simple Notification Service (Amazon SNS) que são agregadas na conta de auditoria. As notificações em cada conta-membro enviam alertas para um tópico local do Amazon SNS e para uma função do Lambda.

nota

Quando o recurso de inscrição automática de contas está ativado nas Configurações, essas notificações do SNS não estão disponíveis.

Para controles que fazem parte do padrão gerenciado por serviço: AWS Control Tower do AWS Security Hub CSPM, o desvio é mostrado nas páginas Conta e Detalhes da conta no console do AWS Control Tower, bem como por meio de uma notificação do Amazon SNS.

Os administradores de contas-membros podem (e como melhor prática, devem) assinar notificações de oscilação do SNS para contas específicas. Por exemplo, o tópico aws-controltower-AggregateSecurityNotifications do SNS fornece notificações de desvios. O console do AWS Control Tower indica aos administradores da conta de gerenciamento quando o desvio ocorreu. Consulte mais informações sobre tópicos do SNS para detecção e notificação de desvios em Drift prevention and notification.

Deduplicação e notificação de desvios

Se o mesmo tipo de desvio ocorrer no mesmo conjunto de recursos várias vezes, o AWS Control Tower enviará uma notificação do SNS somente para a instância inicial do desvio. Se o AWS Control Tower detectar que essa instância de desvio foi corrigida, ele enviará outra notificação somente se o desvio ocorrer novamente para esses recursos idênticos.

Exemplo: o desvio do SCP é tratado da seguinte maneira

  • Se você modificar a mesma SCP gerenciada várias vezes, receberá uma notificação na primeira vez em que modificá-la.

  • Se você modificar uma SCP gerenciada, corrigir o desvio e modificá-la novamente, receberá duas notificações.

Tipos de desvio de conta
nota

Quando você move uma conta de uma UO para outra, os controles da UO anterior não são removidos. Se você habilitar qualquer novo controle baseado em hook na UO de destino, o antigo o controle baseado em hook é removido da conta e o novo controle o substitui. Os controles implementados com SCPs e regras do AWS Config sempre devem ser removidos manualmente quando uma conta muda de UOs.

Exemplos de desvio de política

  • SCP atualizada

  • SCP desanexada da UO

Consulte mais informações em Types of Governance Drift.

Considerações sobre verificações de desvio e política

O AWS Control Tower verifica as SCPs, RCPs e políticas declarativas gerenciadas diariamente para conferir se os controles correspondentes foram aplicados corretamente e se não tiveram desvio. Para recuperar esses recursos e verificá-los, o AWS Control Tower chama o AWS Organizations em seu nome, usando um perfil em sua conta gerencial.

Se uma verificação do AWS Control Tower descobrir um desvio, você receberá uma notificação. O AWS Control Tower envia apenas uma notificação por problema de desvio, portanto, se a zona de pouso já estiver em um estado de desvio, você não receberá notificações adicionais a menos que um novo item de desvio seja encontrado.

O AWS Organizations limita a frequência com que cada uma das APIs pode ser chamada. Esse limite é expresso em transações por segundo (TPS) e é conhecido como limite de TPS, taxa de controle de utilização ou taxa de solicitação de API. Quando o AWS Control Tower audita as SCPs, RCPs e políticas declarativas chamando o AWS Organizations, as chamadas de API que o AWS Control Tower faz são contabilizadas em seu limite de TPS, porque o AWS Control Tower usa a conta gerencial para fazer as chamadas.

Em raras situações, esse limite pode ser atingido quando você chama as mesmas APIs repetidamente, seja por meio de uma solução de terceiros ou de um script personalizado que você escreveu. Por exemplo, se você e o AWS Control Tower chamarem as mesmas APIs do AWS Organizations no mesmo momento (em até 1 segundo) e os limites de TPS forem atingidos, as chamadas subsequentes serão limitadas. Ou seja, essas chamadas retornam um erro como Rate exceeded.

Se uma taxa de solicitação de API for excedida

  • Se o AWS Control Tower atingir o limite e for limitado, pausaremos a execução da auditoria e a retomaremos posteriormente.

  • Se a workload atingir o limite e for limitada, o resultado pode variar de uma leve latência até um erro fatal na workload, dependendo de como a workload está configurada. Esse caso extremo é algo que você deve conhecer.

Uma verificação diária da SCP consiste em

  1. Recuperação de suas UOs recentemente ativas.

  2. Para cada UO registrada, recuperar todas as SCPs gerenciadas pelo AWS Control Tower que estão anexadas à UO. As SCPs gerenciadas têm identificadores que começam com aws-guardrails.

  3. Para cada controle preventivo habilitado na UO, verifique se a instrução da política do controle está presente nas SCPs gerenciadas da UO.

Uma UO pode ter uma ou mais SCPs gerenciadas.

Tipos de desvio a serem resolvidos imediatamente

A maioria dos tipos de oscilações pode ser resolvida pelos administradores. Alguns tipos de desvio devem ser resolvidos imediatamente, incluindo a exclusão de uma unidade organizacional que a zona de pouso do AWS Control Tower requer. Aqui estão alguns exemplos de grandes desvios que você talvez queira evitar:

  • Não exclua a UO de segurança: a unidade organizacional originalmente chamada Segurança durante a configuração da zona de pouso pelo AWS Control Tower não deve ser excluída. Se você excluí-la, verá uma mensagem de erro instruindo a redefinir a zona de pouso imediatamente. Você não poderá executar nenhuma outra ação no AWS Control Tower até que a redefinição seja concluída.

  • Não exclua os perfis obrigatórios: o AWS Control Tower verifica determinados perfis do AWS Identity and Access Management (IAM) quando você faz login no console para verificar o desvio de perfil do IAM. Se esses perfis estiverem ausentes ou inacessíveis, será exibida uma página de erro instruindo que é necessário redefinir a zona de pouso. Esses perfis são AWSControlTowerAdmin, AWSControlTowerCloudTrailRole e AWSControlTowerStackSetRole.

    Para obter mais informações sobre esses perfis, consulte Permissões obrigatórias para usar o console do AWS Control Tower.

  • Não exclua todas as UOs adicionais: pelo menos uma UO adicional é necessária para que o AWS Control Tower opere, mas não precisa ser a UO Sandbox.

  • Não remova contas compartilhadas: se você remover contas compartilhadas das UOs fundamentais com o console AWS Organizations ou APIs, como remover a conta de registro da UO de segurança. A movimentação dessas contas cria um tipo de desvio de mudança de conta que deve ser corrigido. Para remediar esse tipo de desvio, você deve atualizar a zona de pouso.

nota

Como uma prática recomendada, não mova essas contas compartilhadas para fora da UO básica.

Alterações reparáveis em recursos

Veja a seguir uma lista de alterações nos recursos do AWS Control Tower que são permitidas, embora elas criem um desvio reparável. Os resultados dessas operações permitidas podem ser visualizados no console do AWS Control Tower, embora uma atualização possa ser necessária.

Consulte mais informações sobre como resolver o desvio resultante em Managing Resources Outside of AWS Control Tower.

Alterações permitidas fora do console do AWS Control Tower

  • Altere o nome de uma OU registrada.

  • Altere o nome da UO de segurança.

  • Altere o nome das contas-membros em UOs não fundamentais.

  • Altere o nome das contas compartilhadas do AWS Control Tower na UO de segurança.

  • Exclua uma UO não fundamental.

  • Exclua uma conta inscrita de uma UO não fundamental.

  • Altere o endereço de e-mail de uma conta compartilhada na OU de segurança.

  • Altere o endereço de e-mail de uma conta de membro em uma OU registrada.

nota

Mover contas entre UOs é considerado um desvio e deve ser resolvido.

Desvio e provisionamento de contas

Se a zona de pouso estiver em um estado de desvio, o recurso Inscrever conta no AWS Control Tower não funcionará. Nesse caso, é necessário provisionar contas no AWS Service Catalog. Para instruções, consulte Provisionar contas no console do Service Catalog, com o Account Factory .

Em específico, se você fez certas alterações nas contas pelo Service Catalog, como alterar o nome do portfólio, recurso Inscrever conta não funcionará.