监管偏移的类型
当更改或更新 OU、SCP 和成员账户时,会发生监管偏移,也称为组织偏移。可在 AWS Control Tower 中检测到的监管偏移类型如下所示:
账户和 OU 监管偏移
登录区偏移
非 SCP 控件的控件偏移
基准和控件的继承偏移
下文将详细介绍 AWS Control Tower 报告的这些类型的偏移以及如何解决这些问题。
账户和 OU 监管偏移
登录区偏移
另一种类型的偏移是登录区偏移,可通过管理账户发现这种偏移。登录区偏移包括 IAM 角色偏移,或者任何会特别影响基础 OU 和共享账户的组织偏移。
登录区偏移的一个特殊情况是角色偏移,当所需角色不可用时,便会检测到该偏移。如果出现这种偏移,控制台将显示警告页面以及一些有关如何恢复角色的说明。在角色偏移问题得到解决之前,您的登录区将不可用。有关角色偏移的更多信息,请参阅需要立即解决的偏移类型一节中的不要删除必需的角色。
非 SCP 控件的控件偏移
AWS Control Tower 会报告有关通过资源控制策略(RCP)、声明性策略和属于 AWS Security Hub CSPM 服务管理标准:AWS Control Tower 的控件实施的控件的控件偏移。
基准和控件的继承偏移
启用的基准偏移
当成员账户的基准配置与应用于父 OU 的基准配置不同时,AWS Control Tower 会报告这些 OU 和账户上已启用的基准(资源配置)的继承偏移。有关基准的更多信息,请参阅基准的类型。
-
已启用的控件偏移
当成员账户上启用的控制配置与应用于父 OU 的控制配置不同时,AWS Control Tower 会报告这些 OU 和账户上已启用的控件的继承偏移。
未报告的偏移
-
AWS Control Tower 不会查找与管理账户配合使用的其他服务的偏移问题,这些服务包括 AWS CloudTrail、Amazon CloudWatch、IAM Identity Center、CloudFormation、AWS Config,等。
-
AWS Control Tower 不会检测在您修改基准中包含的资源的情况下可能出现的资源偏移或其他类型的偏移。
移动的成员账户
这种类型的偏移发生在账户层面而非 OU 层面。当 AWS Control Tower 成员账户、审计账户或者日志存档账户从一个已注册的 AWS Control Tower OU 移动到另一个 OU 时,可能会发生这种偏移。在许多情况下,当在设置页面上激活账户的自动注册特征时,您可以避免这种偏移。有关更多详细信息,请参阅 使用自动注册功能移动和注册账户。
以下是检测到此类偏移时的 Amazon SNS 通知示例。
{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }
解决方法
当拥有多达 1000 个账户的 OU 中的 Account Factory 预置账户出现这种偏移时,可通过以下方式解决:
-
在 AWS Control Tower 控制台中导航到组织页面,选择相应账户,然后选择右上角的更新账户(适用于个人账户的最快选项)。
-
在 AWS Control Tower 控制台中导航到组织页面,然后为包含相应账户的 OU 选择重新注册(适用于多个账户的最快选项)。有关更多信息,请参阅 向 AWS Control Tower 注册现有组织单元。
-
在 Account Factory 中更新预置的产品。有关更多信息,请参阅 使用 AWS Control Tower 更新和移动账户。
注意
如果您有多个个人账户要更新,另请参阅使用脚本进行更新的方法:使用自动化预置和更新账户。
-
当拥有超过 1000 个账户的 OU 中发生这种类型的偏移时,能否消除偏移可能取决于转移了哪种类型的账户,如下文所述。有关更多信息,请参阅 更新您的登录区。
-
如果移动的是 Account Factory 预置账户 - 在拥有少于 1000 个账户的 OU 中,您可以通过更新 Account Factory 中的预置产品、重新注册 OU 或更新登录区来解决账户偏移问题。
在拥有超过 1000 个账户的 OU 中,您必须 通过 AWS Control Tower 控制台或预置产品来更新每个已移动的账户,从而解决偏移问题,因为重新注册 OU 不会执行更新。有关更多信息,请参阅 使用 AWS Control Tower 更新和移动账户。
-
如果移动的是共享账户 - 您可以通过更新登录区来移动审计或日志存档账户以解决偏移。有关更多信息,请参阅 更新您的登录区。
-
已弃用的字段名称
为了符合 AWS 准则,字段名称 MasterAccountID 已更改为 ManagementAccountID。旧名称已弃用。从 2022 年开始,包含已弃用字段名称的脚本已不再起作用。
删除的成员账户
当从注册的 AWS Control Tower 组织单元中删除成员账户时,可能会发生这种偏移。以下是检测到此类偏移时的 Amazon SNS 通知示例。
{ "Message" : "AWS Control Tower has detected that the member account012345678909has been removed from organizationo-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }
解决方案
-
当成员账户出现此类偏移时,您可以通过在 AWS Control Tower 控制台或 Account Factory 中更新账户来解决偏移问题。例如,您可以通过 Account Factory 更新向导将该账户添加到另一个已注册的 OU。有关更多信息,请参阅 使用 AWS Control Tower 更新和移动账户。
-
如果共享账户已从基础 OU 中移除,则必须通过重置登录区来解决偏移。在此偏移得到解决之前,您将无法使用 AWS Control Tower 控制台。
-
有关解决账户和 OU 的偏移的更多信息,请参阅 如需在 AWS Control Tower 之外管理资源。
注意
在 Service Catalog 中,表示账户的 Account Factory 预置产品不会更新以删除账户。相反,预置产品显示为 TAINTED 且处于错误状态。要清理,请转到 Service Catalog,选择预置产品,然后选择终止。
托管 SCP 的计划外更新
在 AWS Organizations 控制台中,或者通过使用 AWS CLI 或某个 AWS SDK 以编程方式更新控件的 SCP 时,可能会发生此类偏移。以下是检测到此类偏移时的 Amazon SNS 通知示例。
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
解决方案
当拥有多达 1000 个账户的 OU 中出现这种偏移时,可通过以下方式解决:
-
在 AWS Control Tower 控制台中导航到组织页面,以重新注册 OU(最快的选项)。有关更多信息,请参阅 向 AWS Control Tower 注册现有组织单元。
-
更新登录区(较慢的选项)。有关更多信息,请参阅 更新您的登录区。
当拥有超过 1000 个账户的 OU 中发生此类偏移时,可通过更新登录区来解决该问题。有关更多信息,请参阅 更新您的登录区。
SCP 与托管 OU 分离
当控件的 SCP 与 AWS Control Tower 管理的 OU 分离时,可能会发生这种偏移。当您在 AWS Control Tower 控制台之外操作时,这种情况尤其常见。以下是检测到此类偏移时的 Amazon SNS 通知示例。
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
解决方案
当拥有多达 1000 个账户的 OU 中出现这种偏移时,可通过以下方式解决:
-
在 AWS Control Tower 控制台中导航到 OU,以重新注册 OU(最快的选项)。有关更多信息,请参阅 向 AWS Control Tower 注册现有组织单元。
-
更新登录区(较慢的选项)。如果偏移影响了强制性控制,则更新过程会创建一个新的服务控制策略(SCP)并将其附加到 OU 以解决偏移问题。有关如何更新登录区的信息,请参阅 更新您的登录区。
当拥有超过 1000 个账户的 OU 中发生此类偏移时,可通过更新登录区来解决该问题。如果偏移影响了强制性控制,则更新过程会创建一个新的服务控制策略(SCP)并将其附加到 OU 以解决偏移问题。有关如何更新登录区的信息,请参阅 更新您的登录区。
已删除基础 OU
这种偏移仅适用于 AWS Control Tower 基础 OU,例如安全 OU。如果在 AWS Control Tower 控制台之外删除了基础 OU,则可能会发生这种情况。如果不创建这种类型的偏移,就无法移动基础 OU,因为移动 OU 与将其删除并将其添加到其他位置相同。当您通过更新登录区来解决偏移问题时,AWS Control Tower 会取代原始位置的基础 OU。以下示例显示了检测到此类偏移时您可能会收到的 Amazon SNS 通知。
{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }
解决方案
由于这种偏移仅发生在基础 OU 中,解决方案便是更新登录区。删除其他类型的 OU 时,AWS Control Tower 会自动更新。
有关解决账户和 OU 的偏移的更多信息,请参阅 如需在 AWS Control Tower 之外管理资源。
Security Hub 控件偏移
当 AWS Security Hub CSPM 服务托管标准:AWS Control Tower 中的控件报告偏移状态时,便会发生这种偏移。AWS Security Hub CSPM 服务本身不会报告这些控件的偏移状态。相反,该服务会将其发现结果发送给 AWS Control Tower。
如果 AWS Control Tower 在 24 小时内没有收到来自 Security Hub 的状态更新,也可以检测到 Security Hub 控件偏移。如果未按预期收到这些发现结果,AWS Control Tower 会验证控件是否处于偏离状态。以下示例显示了检测到此类偏移时您可能会收到的 Amazon SNS 通知。
{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "SH.XXXXXXX.1", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>". "Region" : "us-east-1" }
解决方案
对于拥有少于 1000 个账户的 OU,建议的解决方案是调用偏移的控件的 ResetEnabledControl API。在控制台中,您可以为 OU 选择重新注册,这会将控件重置为原始状态。或者,对于任何 OU,您可以通过控制台或 AWS Control Tower API 删除并重新启用控件,这也会重置控件。
有关解决账户和 OU 的偏移的更多信息,请参阅 如需在 AWS Control Tower 之外管理资源。
控制策略偏移
当使用资源控制策略(RCP)或声明性策略 实施的控件报告偏移状态时,便会发生这种偏移。它返回的状态为 CONTROL_INEFFECTIVE,您可以在 AWS Control Tower 控制台和偏移消息中查看该状态。此类偏移的偏移消息还包括受影响控件的 EnabledControlIdentifier。
系统不会报告针对基于 SCP 的控件的此类偏移。
以下示例显示了检测到此类偏移时您可能会收到的 Amazon SNS 通知。
{ "Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.", "MasterAccountId": "123456789XXX", "ManagementAccountId": "123456789XXX", "OrganizationId": "o-123EXAMPLE", "DriftType": "CONTROL_INEFFECTIVE", "RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.", "TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567", "ControlId": "CT.XXXXXXX.PV.1", "ControlName": "EBS snapshots should not be publicly restorable", "ApiControlIdentifier": "arn:aws:controlcatalog:::control/<UNIQUE_ID>", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>" }
解决方案
要解决 AWS Control Tower 中启用的 RCP 控件、声明性策略控件和 Security Hub 控件的控件策略偏移,最简单的解决方法是调用 ResetEnabledControl API。
对于拥有少于 1000 个账户的 OU,另一种通过控制台或 API 解决的方案是重新注册 OU,这会将控件重置为原始状态。
对于任何单个 OU,您可以通过控制台或 AWS Control Tower API 删除并重新启用控件,这也会重置控件。
有关解决账户和 OU 的偏移的更多信息,请参阅 如需在 AWS Control Tower 之外管理资源。
已禁用可信访问
这种偏移适用于 AWS Control Tower 登录区。设置 AWS Control Tower 登录区后,在 AWS Organizations 中禁用对 AWS Control Tower 的可信访问时便会发生这种问题。
禁用可信访问后,AWS Control Tower 将不再接收来自 AWS Organizations 的变更事件。AWS Control Tower 依靠这些变更事件来与 AWS Organizations 保持同步。因此,AWS Control Tower 可能会错过账户和 OU 的组织变更。因此,每次更新登录区时,都务必重新注册每个 OU。
示例:Amazon SNS 通知
以下示例显示了发生此类偏移时您将收到的 Amazon SNS 通知。
{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }
解决方案
当 AWS Control Tower 控制台中出现此类偏移时,AWS Control Tower 会通知您。解决办法是重置 AWS Control Tower 登录区。有关更多信息,请参阅 Resolving drift。
启用的基准上的继承偏移
AWS Control Tower OU 和账户可能会发生这种偏移。
解决方案
AWS Control Tower 会在此类偏移发生时通知您。对于几乎所有继承偏移的情况,您都会收到有关移动的成员账户 偏移的 SNS 通知。这是因为这种偏移通常发生在账户遭移动或账户注册失败时。
在控制台中查看和解决偏移
在 AWS Control Tower 控制台中,您可以在组织页面的基准状态列中查看这种继承的偏移状态。通过控制台解决的方案是重新注册 OU 或更新账户。
以编程方式查看和解决偏移
要以编程方式查看偏移状态,您可以调用 ListEnabledBaselines API,查看 OU 上启用的基准的状态。要使用 ListEnabledBaselines API 以编程方式查看单个账户的状态,请使用 includeChildren 标志。
您可以通过调用 ResetEnabledBaseline API 以编程方式解决此类偏移。
已启用的控件上的继承偏移
AWS Control Tower OU 和账户可能会发生这种偏移。
解决方案
AWS Control Tower 会在此类偏移发生时通知您。对于几乎所有继承偏移的情况,您都会收到有关移动的成员账户 偏移的 SNS 通知。这是因为这种偏移通常发生在账户遭移动或账户注册失败时。
在控制台中查看和解决偏移
在 AWS Control Tower 控制台中,您可以在组织页面、已启用的控件页面和账户详细信息页面中,查看这种继承的偏移状态。通过控制台解决的方案是重新注册 OU 或更新账户。
以编程方式查看和解决偏移
要以编程方式查看已启用控件的继承偏移状态,您可以调用 ListEnabledControls API,来查看 OU 上已启用控件的状态。要使用 ListEnabledControls API 以编程方式查看单个账户的状态,请使用 includeChildren 标志。
您可以通过调用 ResetEnabledControl API 以编程方式解决此类继承偏移。
