本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定區域時避免混合控管
將 AWS Control Tower 管控擴展至新的區域,以及從區域移除 AWS Control Tower 管控之後 AWS 區域,請務必更新 OU 中的所有帳戶。
如果管理 OU 的控制項與管理 OU 內每個帳戶的控制項不完全相符,則可能會發生混合控管的不良情況。如果在 AWS Control Tower 將管控延伸至新的 或移除管控之後,帳戶未更新 AWS 區域,則混合管控會在 OU 中發生。
在這種情況下,與 OU 中的其他帳戶相比,或與登陸區域的整體控管狀態相比,OU 中的某些帳戶可能會在不同區域中套用不同的控制。
在具有混合控管的 OU 中,如果您佈建新帳戶,則該新帳戶會收到與登陸區域相同的 (更新) 區域和 OU 控管狀態。不過,尚未更新的現有帳戶不會收到更新的區域控管狀態。
一般而言,混合控管可能會在 AWS Control Tower 主控台中建立矛盾或不準確的狀態指示燈。例如,在混合控管期間,對於尚未更新的 帳戶,選擇加入區域會在已註冊OUs 中以「不控管」狀態顯示。
注意
AWS Control Tower 不允許在混合控管狀態期間啟用控制項。
混合控管期間的控制行為
-
在混合控管期間,AWS Control Tower 無法一致地在 OU 已顯示為受管的區域中部署基於 AWS Config 規則 (即偵測性控制項) 的控制項,因為 OU 中的某些帳戶尚未更新。您可能會收到
FAILED_TO_ENABLE錯誤訊息。 -
在混合控管期間,如果您將登陸區域的控管延伸至選擇加入區域,而 OU 中的任何帳戶尚未更新,則 OU 上的
EnableControlAPI 操作會針對偵測和主動控制失敗。您會收到FAILED_TO_ENABLE錯誤訊息,因為 OU 中的未更新成員帳戶尚未選擇加入這些區域。 -
在混合控管期間,屬於 Security Hub Service 受管標準的控制項:AWS Control Tower 無法在登陸區域組態與未更新帳戶不相符的區域中準確報告合規。
-
混合控管不會變更 SCP 型控制 (預防性控制) 的行為,其會統一套用至每個受管區域中 OU 中的每個帳戶。
注意
混合控管與漂移不同,也不會報告為漂移。
修復混合控管
-
在 OU 中選擇更新帳戶,在 主控台的組織頁面上顯示更新可用狀態。
-
針對帳戶 OUs 少於 1000 個的 OU,在組織頁面上選擇重新註冊 OU,以自動更新 OU 中的所有帳戶。
