Tipos de desvio de governança
O desvio de governança, também chamado de desvio organizacional ocorre quando as UOs, as SCPs e as contas-membros são alteradas ou atualizadas. Tipos de desvio de governança que podem ser detectados no AWS Control Tower:
Desvio da governança da conta e da UO
Desvio da zona de pouso
Desvio de controle para controles não SCP
Desvio de herança para linhas de base e controles
As próximas seções fornecem detalhes sobre esses tipos de desvio que o AWS Control Tower relata e como resolvê-los.
Desvio da governança da conta e da UO
Desvio da zona de pouso
Outro tipo é o desvio da zona de pouso, que pode ser encontrado na conta de gerenciamento. O desvio da zona de pouso consiste na mudança de perfil do IAM ou em qualquer tipo de mudança organizacional que afete especificamente UOs fundamentais e contas compartilhadas.
Um caso especial de desvio da zona de pouso é o desvio de perfil, que é detectado quando um perfil necessário não está disponível. Se esse tipo de desvio ocorrer, o console exibirá uma página de aviso e algumas instruções sobre como restaurar o perfil. A zona de pouso não estará disponível até que a mudança de perfil seja resolvida. Consulte mais informações sobre o desvio da função em Não exclua os perfis necessários na seção chamada Tipos de desvio a serem resolvidos imediatamente.
Desvio de controle para controles não SCP
O AWS Control Tower relata desvios de controle em relação aos controles implementados com políticas de controle de recursos (RCPs), políticas declarativas e controles que fazem parte do padrão gerenciado por serviços do AWS Security Hub CSPM: AWS Control Tower.
Desvio de herança para linhas de base e controles
Desvio de linha de base habilitado
Quando as configurações de linha de base em uma conta de membro são diferentes daquelas aplicadas à UO principal, o AWS Control Tower relata o desvio de herança para linhas de base habilitadas (configurações de recursos) nessas UOs e contas. Para obter mais informações sobre linhas de base, consulte Tipos de linhas de base.
-
Desvio de controle habilitado
Quando as configurações de controle habilitado em uma conta de membro são diferentes daquelas aplicadas à UO principal, o AWS Control Tower relata o desvio de herança para linhas de base habilitadas (configurações de recursos) nessas UOs e contas.
Desvio que não é relatado
-
O AWS Control Tower não se preocupa com outros serviços que funcionam com a conta gerencial, incluindo AWS CloudTrailAmazon CloudWatch, Centro de Identidade do IAM, CloudFormation, AWS Config e assim por diante.
-
O AWS Control Tower não detecta desvios de recursos ou outros tipos de desvios que possam ocorrer se você modificar os recursos contidos em uma linha de base.
Conta de membro migrada
Esse tipo de desvio ocorre na conta e não na UO. Esse tipo de desvio pode ocorrer quando uma conta-membro do AWS Control Tower, a conta de auditoria ou a conta de arquivamento de logs é transferida de uma UO registrada do AWS Control Tower para qualquer outra UO. Em muitos casos, você pode evitar esse tipo de desvio se ativar o recurso de inscrição automática para contas, na página Configurações. Consulte mais detalhes em Mova e registre contas com inscrição automática.
Veja um exemplo da notificação do Amazon SNS quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }
Soluções
Quando esse tipo de desvio ocorre em uma conta provisionada pelo Account Factory em uma UO com até mil contas, você pode resolvê-lo da seguinte maneira:
-
Acesse a página Organização no console do AWS Control Tower, selecione a conta e Atualizar conta no canto superior direito (opção mais rápida para contas individuais).
-
Acesse a página Organização no console do AWS Control Tower e escolha Inscrever novamente na UO que contém a conta (opção mais rápida para várias contas). Para obter mais informações, consulte Registrar uma unidade organizacional existente com o AWS Control Tower.
-
Atualização do produto provisionado no Account Factory. Para obter mais informações, consulte Atualizar e mover contas com o AWS Control Tower.
nota
Se você tiver várias contas individuais para atualizar, veja também este método para fazer atualizações com um script: Provisionar e atualizar contas usando automação.
-
Quando esse tipo de desvio ocorre em uma UO com mais de mil contas, a resolução do desvio pode depender do tipo de conta que foi movida, conforme explicado nos próximos parágrafos. Para obter mais informações, consulte Atualizar a zona de pouso.
-
Se uma conta provisionada pelo Account Factory for movida: em uma UO com menos de mil contas, você pode resolver o desvio da conta atualizando o produto provisionado no Account Factory, registrando novamente a UO ou atualizando a zona de pouso.
Em uma UO com mais de mil contas, você deve resolver o problema fazendo uma atualização em cada conta transferida, seja por meio do console do AWS Control Tower ou do produto provisionado, pois o novo registro da UO não executará a atualização. Para obter mais informações, consulte Atualizar e mover contas com o AWS Control Tower.
-
Se uma conta compartilhada é movida: é possível resolver o desvio ao mover a conta de auditoria ou de arquivamento de logs atualizando a zona de pouso. Para obter mais informações, consulte Atualizar a zona de pouso.
-
Nome de campo desativado
O nome do campo MasterAccountID foi alterado para ManagementAccountID a fim de atender às diretrizes da AWS. O nome antigo foi desativado. Desde 2022, os scripts que contêm o nome do campo desativado não funcionam mais.
Conta de membro removida
Esse tipo de desvio pode ocorrer quando uma conta-membro é removida de uma unidade organizacional registrada do AWS Control Tower. O exemplo a seguir mostra a notificação do Amazon SNS quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that the member account012345678909has been removed from organizationo-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }
Resolução
-
Quando esse tipo de desvio ocorre em uma conta-membro, você pode resolvê-lo atualizando a conta no console do AWS Control Tower ou no Account Factory. Por exemplo, você pode adicionar a conta a outra UO registrada pelo assistente de atualização do Account Factory. Para obter mais informações, consulte Atualizar e mover contas com o AWS Control Tower.
-
Se uma conta compartilhada for removida de uma UO fundamental, você deverá resolver o desvio redefinindo a zona de pouso. Até que esse desvio seja resolvido, você não poderá usar o console do AWS Control Tower.
-
Para obter mais informações sobre como resolver oscilações para contas e UOs, consulte Se você gerencia recursos fora do AWS Control Tower.
nota
No Service Catalog, o produto provisionado do Account Factory que representa a conta não é atualizado para removê-la. Em vez disso, o produto provisionado é exibido como TAINTED e em um estado de erro. Para limpar, acesse o Service Catalog, escolha o produto provisionado e selecione Encerrar.
Atualização não planejada para SCP gerenciado
Esse tipo de desvio pode ocorrer quando uma SCP de um controle é atualizada no console do AWS Organizations ou programaticamente usando a AWS CLI ou um dos AWS SDKs. Veja um exemplo da notificação do Amazon SNS quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Resolução
Para resolver esse tipo de desvio quando ele ocorre em uma UO com até mil contas:
-
Acesse a página Organização no console do AWS Control Tower para registrar novamente a UO (opção mais rápida). Para obter mais informações, consulte Registrar uma unidade organizacional existente com o AWS Control Tower.
-
Atualização da zona de pouso (opção mais lenta). Para obter mais informações, consulte Atualizar a zona de pouso.
Quando esse tipo de desvio ocorre em uma UO com mais de mil contas, resolva-o atualizando a zona de pouso. Para obter mais informações, consulte Atualizar a zona de pouso.
SCP desanexado da UO gerenciada
Esse tipo de desvio pode ocorrer quando uma SCP de um controle é separada de uma UO gerenciada pelo AWS Control Tower. Essa ocorrência é especialmente comum quando você está trabalhando fora do console do AWS Control Tower. Veja um exemplo da notificação do Amazon SNS quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Resolução
Para resolver esse tipo de desvio quando ele ocorre em uma UO com até mil contas:
-
Acesse a UO no console do AWS Control Tower para registrar a UO novamente (opção mais rápida). Para obter mais informações, consulte Registrar uma unidade organizacional existente com o AWS Control Tower.
-
Atualização da zona de pouso (opção mais lenta). Se o desvio estiver afetando um controle obrigatório, o processo de atualização cria uma política de controle de serviços (SCP) e a anexa à UO para resolvê-lo. Consulte mais informações sobre como atualizar a zona de pouso em Atualizar a zona de pouso.
Quando esse tipo de desvio ocorre em uma UO com mais de mil contas, resolva-o atualizando a zona de pouso. Se o desvio estiver afetando um controle obrigatório, o processo de atualização cria uma política de controle de serviços (SCP) e a anexa à UO para resolvê-lo. Consulte mais informações sobre como atualizar a zona de pouso em Atualizar a zona de pouso.
UO fundamental excluída
Esse tipo de desvio se aplica somente às UOs fundamentais do AWS Control Tower, como a UO de segurança. Isso poderá ocorrer se uma UO fundamental for excluída fora do console do AWS Control Tower. As UOs fundamentais não podem ser movidas sem criar esse tipo de desvio, porque mover uma UO é o mesmo que excluí-la e adicioná-la em outro lugar. Quando você resolve o desvio atualizando a zona de pouso, o AWS Control Tower substitui a UO fundamental no local original. O exemplo a seguir mostra uma notificação do Amazon SNS que você pode receber quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }
Resolução
Como esse desvio ocorre somente para UOs fundamentais, a resolução é atualizar a zona de pouso. Quando outros tipos de UOs são excluídos, o AWS Control Tower é atualizado automaticamente.
Para obter mais informações sobre como resolver oscilações para contas e UOs, consulte Se você gerencia recursos fora do AWS Control Tower.
Desvio de controle do Security Hub
Esse tipo de desvio ocorre quando um controle que faz parte do padrão gerenciado pelo serviço do AWS Security Hub CSPM: o AWS Control Tower relata um estado de desvio. O serviço do AWS Security Hub CSPM em si não relata um estado de desvio para esses controles. Em vez disso, o serviço envia suas descobertas ao AWS Control Tower.
O desvio de controle do Security Hub também poderá ser detectado se o AWS Control Tower não receber uma atualização de status do Security Hub em mais de 24 horas. Se essas descobertas não forem recebidas conforme o esperado, o AWS Control Tower verifica se o controle está em desvio. O exemplo a seguir mostra uma notificação do Amazon SNS que você pode receber quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "SH.XXXXXXX.1", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>". "Region" : "us-east-1" }
Resolução
Para UOs com menos de mil contas, a resolução recomendada é chamar a API ResetEnabledControl para o controle desviado. No console, você pode selecionar Registrar novamente para a UO, o que redefine o controle para o estado original. Como alternativa, para qualquer UO, é possível remover e reativar o controle por meio do console ou das APIs do AWS Control Tower, que também redefinem o controle.
Para obter mais informações sobre como resolver oscilações para contas e UOs, consulte Se você gerencia recursos fora do AWS Control Tower.
Desvio da política de controle
Esse tipo de desvio ocorre quando um controle implementado com políticas de controle de recursos (RCPs) ou política declarativa relata um estado de desvio. Ele retorna um estado de CONTROL_INEFFECTIVE, que você pode ver no console do AWS Control Tower e na mensagem de desvio. A mensagem de desvio para esse tipo de desvio também inclui a mensagem EnabledControlIdentifier para o controle afetado.
Esse tipo de desvio não é relatado para controles baseados em SCP.
O exemplo a seguir mostra uma notificação do Amazon SNS que você pode receber quando esse tipo de desvio é detectado.
{ "Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.", "MasterAccountId": "123456789XXX", "ManagementAccountId": "123456789XXX", "OrganizationId": "o-123EXAMPLE", "DriftType": "CONTROL_INEFFECTIVE", "RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.", "TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567", "ControlId": "CT.XXXXXXX.PV.1", "ControlName": "EBS snapshots should not be publicly restorable", "ApiControlIdentifier": "arn:aws:controlcatalog:::control/<UNIQUE_ID>", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>" }
Resolução
A solução mais fácil para o desvio da política de controle em controles RCP, controles de política declarativa e controles do Security Hub habilitados no AWS Control Tower é chamar a API ResetEnabledControl.
Para UOs com menos de mil contas, outra resolução do console ou API é registrar novamente a UO, o que redefine o controle para o estado original.
Para qualquer UO individual, é possível remover e reativar o controle por meio do console ou das APIs do AWS Control Tower, que também redefinem o controle.
Para obter mais informações sobre como resolver oscilações para contas e UOs, consulte Se você gerencia recursos fora do AWS Control Tower.
Acesso confiável desabilitado
Esse tipo de desvio se aplica às zonas de pouso do AWS Control Tower. Ele ocorre ao desabilitar o acesso confiável ao AWS Control Tower no AWS Organizations depois de configurar a zona de pouso do AWS Control Tower.
Quando o acesso confiável é desabilitado, o AWS Control Tower não recebe mais eventos de alteração do AWS Organizations. O AWS Control Tower depende desses eventos de mudança para se manter sincronizado com o AWS Organizations. Como resultado, o AWS Control Tower pode perder mudanças organizacionais em contas e UOs. É por isso que é importante registrar novamente cada UO, sempre que você atualizar a zona de pouso.
Exemplo: notificação do Amazon SNS
Veja a seguir um exemplo da notificação do Amazon SNS que você recebe quando esse tipo de desvio ocorre.
{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }
Resolução
O AWS Control Tower notifica você quando esse tipo de desvio ocorre no console do AWS Control Tower. A solução é redefinir a zona de pouso do AWS Control Tower. Consulte mais informações em Resolving drift.
Desvio de herança em linhas de base habilitadas
Esse tipo de desvio pode ocorrer nas UOs e contas do AWS Control Tower.
Resolução
O AWS Control Tower notifica você quando esse tipo de desvio ocorre. Para quase todos os casos de desvio de herança, você receberá uma notificação do SNS para o desvio mudança de conta de membro. Isso porque esse tipo de desvio geralmente ocorre quando uma conta é transferida ou ocorre falha na inscrição da conta.
Visualize e resolva o desvio no console
No console do AWS Control Tower, você pode ver esse status de desvio herdado na coluna Estado da linha de base na página Organizations. A solução do console é registrar novamente sua UO ou atualizar sua conta.
Visualize e resolva o desvio programaticamente
Para visualizar o status do desvio programaticamente, você pode chamar a API ListEnabledBaselines para ver os status das linhas de base habilitadas em suas UOs. Para visualizar os status de contas individuais de forma programática com a API ListEnabledBaselines, use a bandeira includeChildren.
Você pode resolver esse tipo de desvio programaticamente, chamando a API ResetEnabledBaseline.
Desvio de herança em controles habilitados
Esse tipo de desvio pode ocorrer nas UOs e contas do AWS Control Tower.
Resolução
O AWS Control Tower notifica você quando esse tipo de desvio ocorre. Para quase todos os casos de desvio de herança, você receberá uma notificação do SNS para o desvio mudança de conta de membro. Isso porque esse tipo de desvio geralmente ocorre quando uma conta é transferida ou ocorre falha na inscrição da conta.
Visualize e resolva o desvio no console
No console do AWS Control Tower, você pode ver esse status de desvio herdado na página Organizations, na página Enabled controls e na página Account details. A solução do console é registrar novamente sua UO ou atualizar sua conta.
Visualize e resolva o desvio programaticamente
Para visualizar o status do desvio herdado programaticamente para controles habilitados, você pode chamar a API ListEnabledControls para ver os status dos controles habilitados em suas UOs. Para visualizar os status de contas individuais de forma programática com a API ListEnabledControls, use a bandeira includeChildren.
Você pode resolver esse tipo de desvio de herança programaticamente, chamando a API ResetEnabledControl.
