Abweichungen im AWS Control Tower erkennen und beheben - AWS Control Tower
Drift erkennenBehebung von AbweichungenÜberlegungen zu Drift- und SCP-ScansArten von Abweichungen, die sofort behoben werden müssenReparierbare Änderungen an RessourcenAbweichungen und Bereitstellung neuer Konten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Abweichungen im AWS Control Tower erkennen und beheben

Die Identifizierung und Behebung von Abweichungen ist eine reguläre Betriebsaufgabe für Administratoren von AWS Control Tower Tower-Managementkonten. Die Behebung von Abweichungen trägt dazu bei, dass Sie die Governance-Anforderungen einhalten.

Wenn Sie Ihre landing zone erstellen, entsprechen die landing zone und alle Organisationseinheiten (OUs), Konten und Ressourcen den Governance-Regeln, die durch die von Ihnen ausgewählten Kontrollen durchgesetzt werden. Wenn Sie und Ihre Organisationsmitglieder die landing zone nutzen, kann es zu Änderungen dieses Compliance-Status kommen. Einige Änderungen können versehentlich oder absichtlich vorgenommen werden, um auf zeitkritische Betriebsereignisse zu reagieren.

Sie können mithilfe der Abweichungserkennung feststellen, für welche Ressourcen Änderungen oder Konfigurationsaktualisierungen erforderlich sind.

Drift erkennen

AWS Control Tower erkennt Drift automatisch. Um Abweichungen zu erkennen, benötigt die AWSControlTowerAdmin Rolle dauerhaften Zugriff auf Ihr Verwaltungskonto, sodass AWS Control Tower schreibgeschützte API-Aufrufe an ausführen kann. AWS Organizations Diese API-Aufrufe werden als AWS CloudTrail Ereignisse angezeigt.

Drift wird in den Amazon Simple Notification Service (Amazon SNS) -Benachrichtigungen angezeigt, die im Auditkonto zusammengefasst sind. Benachrichtigungen in jedem Mitgliedskonto senden Benachrichtigungen an ein lokales Amazon SNS SNS-Thema und an eine Lambda-Funktion.

Bei Kontrollen, die Teil des AWS Security Hub Service-Managed Standard: AWS Control Tower sind, wird Drift auf den Seiten Konto und Kontodetails in der AWS Control Tower Tower-Konsole sowie in Form einer Amazon SNS SNS-Benachrichtigung angezeigt.

Administratoren von Mitgliedskonten können (und sollten als bewährte Methode) die SNS-Abweichungsbenachrichtigungen für bestimmte Konten abonnieren. Das aws-controltower-AggregateSecurityNotifications SNS-Thema bietet beispielsweise Drift-Benachrichtigungen. Die AWS Control Tower Tower-Konsole zeigt den Administratoren des Verwaltungskontos an, wenn eine Abweichung aufgetreten ist. Weitere Informationen zu SNS-Themen zur Erkennung und Benachrichtigung von Abweichungen finden Sie unter Drift-Prävention und Benachrichtigung.

Deduplizierung von Drift-Benachrichtigungen

Wenn dieselbe Art von Drift mehrmals auf derselben Gruppe von Ressourcen auftritt, sendet AWS Control Tower eine SNS-Benachrichtigung nur für die erste Drift-Instanz. Wenn AWS Control Tower feststellt, dass dieser Drift behoben wurde, sendet er nur dann eine weitere Benachrichtigung, wenn die Drift für diese identischen Ressourcen erneut auftritt.

Beispiele: Kontoabweichung und SCP-Drift werden wie folgt behandelt

  • Wenn Sie dasselbe verwaltete SCP mehrmals ändern, erhalten Sie eine Benachrichtigung, wenn Sie es zum ersten Mal ändern.

  • Wenn Sie ein verwaltetes SCP ändern, dann die Abweichung korrigieren und es dann erneut ändern, erhalten Sie zwei Benachrichtigungen.

  • Wenn ein Konto mehrmals zwischen denselben Quell- und Ziel-Organisationseinheiten verschoben wird, ohne dass die Abweichung zuerst behoben wurde, wird eine einzige Benachrichtigung gesendet, obwohl das Konto mehrmals zwischen diesen Organisationseinheiten gewechselt wurde.

Arten von Kontoverschiebungen

  • Konto wurde zwischen Organisationseinheiten verschoben

  • Konto wurde aus der Organisation entfernt

Anmerkung

Wenn Sie ein Konto von einer Organisationseinheit in eine andere verschieben, werden die Steuerelemente der vorherigen Organisationseinheit nicht entfernt. Wenn Sie eine neue Hook-basierte Steuerung auf der Ziel-OU aktivieren, wird die alte Die Hook-basierte Steuerung wird aus dem Konto entfernt und durch die neue Steuerung ersetzt. Mit SCPs und AWS Config Regeln implementierte Kontrollen müssen immer manuell entfernt werden, wenn ein Konto die Organisationseinheit wechselt.

Arten von Richtlinien-Abweichungen

  • SCP wurde aktualisiert

  • SCP ist an OU angehängt

  • SCP wurde von OU getrennt

  • SCP ist mit dem Konto verknüpft

Weitere Informationen finden Sie unter Arten von Abweichungen in der Unternehmensführung.

Behebung von Abweichungen

Auch wenn die Erkennung automatisch erfolgt, sind zum Beheben von Abweichungen manuelle Schritte über die Konsole erforderlich.

  • Viele Arten von Abweichungen können auf der Seite mit den Einstellungen für die Landezone behoben werden. Sie können im Abschnitt Versionen auf die Schaltfläche „Zurücksetzen“ klicken, um diese Arten von Abweichungen zu beheben.

  • Wenn Ihre OU weniger als 300 Konten hat, können Sie Drift in Account Factory Provisioned Accounts (SCP-Drift) beheben, indem Sie auf der Seite Organisation oder der Seite mit den OU-Details die Option OU erneut registrieren auswählen.

  • Möglicherweise können Sie Kontoabweichungen beheben, indem Sie Moved Member Account (Mitgliedskonto verschoben) beispielsweise ein einzelnes Konto aktualisieren. Weitere Informationen finden Sie unter Aktualisieren Sie das Konto in der Konsole.

Wenn Sie Maßnahmen ergreifen, um Drift in einer Landezone-Version zu beheben, sind zwei Verhaltensweisen möglich.

  • Wenn Sie die neueste Landing Zone-Version verwenden, werden Ihre Drifted landing zone Zone-Ressourcen auf die gespeicherte AWS Control Tower Tower-Konfiguration zurückgesetzt, wenn Sie Zurücksetzen und dann Bestätigen wählen. Die Landezone-Version bleibt gleich.

  • Wenn Sie nicht die neueste Version verwenden, müssen Sie Update wählen. Die landing zone wurde auf die neueste Landezonenversion aktualisiert. Die Drift wird im Rahmen dieses Prozesses behoben.

Überlegungen zu Drift- und SCP-Scans

AWS Control Tower scannt Ihre verwalteten SCPs täglich, um sicherzustellen, dass die entsprechenden Kontrollen korrekt angewendet werden und dass sie sich nicht verändert haben. Um die SCPs abzurufen und sie zu überprüfen, ruft AWS Control Tower in Ihrem Namen AWS Organizations an und verwendet dabei eine Rolle in Ihrem Verwaltungskonto.

Wenn bei einem AWS Control Tower Tower-Scan Abweichungen festgestellt werden, erhalten Sie eine Benachrichtigung. AWS Control Tower sendet nur eine Benachrichtigung pro Drift-Problem. Wenn sich Ihre landing zone also bereits im Drift-Zustand befindet, erhalten Sie keine weiteren Benachrichtigungen, es sei denn, es wird ein neuer Drift-Artikel gefunden.

AWS Organizations schränkt ein, wie oft die einzelnen APIs aufgerufen werden können. Dieses Limit wird in Transaktionen pro Sekunde (TPS) ausgedrückt und wird als TPS-Limit, Drosselungsrate oder API-Anforderungsrate bezeichnet. Wenn AWS Control Tower Ihre SCPs per Anruf prüft AWS Organizations, werden die API-Aufrufe, die AWS Control Tower tätigt, auf Ihr TPS-Limit angerechnet, da AWS Control Tower das Verwaltungskonto für die Aufrufe verwendet.

In seltenen Fällen kann dieses Limit erreicht werden, wenn Sie dieselben APIs wiederholt aufrufen, sei es über eine Drittanbieterlösung oder ein von Ihnen geschriebenes benutzerdefiniertes Skript. Wenn Sie und AWS Control Tower beispielsweise dieselben AWS Organizations APIs zum gleichen Zeitpunkt (innerhalb von 1 Sekunde) aufrufen und die TPS-Grenzwerte erreicht sind, werden nachfolgende Aufrufe gedrosselt. Das heißt, diese Aufrufe geben einen Fehler zurück wie. Rate exceeded

Wenn eine API-Anforderungsrate überschritten wird

  • Wenn AWS Control Tower das Limit erreicht und gedrosselt wird, unterbrechen wir die Ausführung des Audits und setzen es zu einem späteren Zeitpunkt fort.

  • Wenn Ihr Workload das Limit erreicht und gedrosselt wird, kann das Ergebnis, je nachdem, wie der Workload konfiguriert ist, von einer leichten Latenz bis hin zu einem schwerwiegenden Fehler in der Arbeitslast reichen. Dieser Grenzfall ist etwas, das Sie beachten sollten.

Ein täglicher SCP-Scan besteht aus

  1. Ihre kürzlich aktiven Organisationseinheiten werden abgerufen.

  2. Für jede registrierte OU werden alle von AWS Control Tower verwalteten SCPs abgerufen, die an die OU angehängt sind. Verwaltete SCPs haben Identifikatoren, die mit beginnen. aws-guardrails

  3. Für jede präventive Kontrolle, die auf der OU aktiviert ist, wird überprüft, ob die Richtlinienerklärung der Kontrolle in den verwalteten SCPs der OU enthalten ist.

Eine Organisationseinheit kann über einen oder mehrere verwaltete SCPs verfügen.

Arten von Abweichungen, die sofort behoben werden müssen

Die meisten Arten von Abweichungen können von Administratoren behoben werden. Einige Arten von Abweichungen müssen sofort behoben werden, einschließlich der Löschung einer Organisationseinheit, die für die AWS Control Tower Tower-Landezone erforderlich ist. Hier sind einige Beispiele für größere Abweichungen, die Sie vielleicht vermeiden möchten:

  • Löschen Sie die Sicherheits-OU nicht: Die Organisationseinheit, die ursprünglich bei der Einrichtung der landing zone durch AWS Control Tower Security benannt wurde, sollte nicht gelöscht werden. Wenn du es löschst, wird eine Fehlermeldung angezeigt, in der du aufgefordert wirst, die landing zone sofort zurückzusetzen. Sie können in AWS Control Tower keine weiteren Aktionen ausführen, bis der Reset abgeschlossen ist.

  • Löschen Sie keine erforderlichen Rollen: AWS Control Tower überprüft bestimmte AWS Identity and Access Management (IAM-) Rollen, wenn Sie sich bei der Konsole anmelden, auf IAM-Rollendrift. Wenn diese Rollen fehlen oder nicht zugänglich sind, wird eine Fehlerseite angezeigt, auf der Sie aufgefordert werden, Ihre landing zone zurückzusetzen. Diese Rollen sind. AWSControlTowerAdmin AWSControlTowerCloudTrailRole AWSControlTowerStackSetRole

    Weitere Informationen zu diesen Rollen finden Sie unterFür die Nutzung der AWS Control Tower Tower-Konsole sind Berechtigungen erforderlich.

  • Löschen Sie nicht alle zusätzlichen Organisationseinheiten: Wenn Sie die Organisationseinheit, die ursprünglich Sandbox genannt wurde, während der Einrichtung der landing zone durch AWS Control Tower löschen, befindet sich Ihre landing zone in einem Drift-Zustand, aber Sie können AWS Control Tower weiterhin verwenden. Für den Betrieb von AWS Control Tower ist mindestens eine zusätzliche Organisationseinheit erforderlich, es muss sich jedoch nicht um die Sandbox-Organisationseinheit handeln.

  • Geteilte Konten nicht entfernen: Wenn Sie gemeinsame Konten aus Foundation-Organisationseinheiten entfernen, z. B. wenn Sie das Protokollierungskonto aus der Sicherheits-OU entfernen, befindet sich Ihre landing zone in einem Drift-Zustand. Die landing zone muss zurückgesetzt werden, bevor Sie die AWS Control Tower Tower-Konsole weiter verwenden können.

Reparierbare Änderungen an Ressourcen

Im Folgenden finden Sie eine Liste der Änderungen an den AWS Control Tower Tower-Ressourcen, die zulässig sind, obwohl sie zu behebbaren Abweichungen führen. Die Ergebnisse dieser erlaubten Operationen können in der AWS Control Tower Tower-Konsole eingesehen werden, obwohl möglicherweise eine Aktualisierung erforderlich ist.

Weitere Informationen zur Behebung der daraus resultierenden Abweichung finden Sie unter Ressourcen außerhalb von AWS Control Tower verwalten.

Zulässige Änderungen außerhalb der AWS Control Tower Tower-Konsole

  • Ändern Sie den Namen einer registrierten Organisationseinheit.

  • Ändern Sie den Namen der Sicherheits-OU.

  • Ändern Sie den Namen von Mitgliedskonten in Organisationseinheiten, die nicht zu den Grundlagen gehören.

  • Ändern Sie den Namen der gemeinsam genutzten AWS Control Tower Tower-Konten in der Sicherheits-OU.

  • Löschen Sie eine Organisationseinheit, die nicht zu den Grundlagen gehört.

  • Löscht ein registriertes Konto aus einer Organisationseinheit, die nicht zu den Grundlagen gehört.

  • Ändern Sie die E-Mail-Adresse eines gemeinsam genutzten Kontos in der Security OU.

  • Ändern Sie die E-Mail-Adresse eines Mitgliedskontos in einer registrierten Organisationseinheit.

Anmerkung

Das Verschieben von Konten zwischen Organisationseinheiten gilt als Drift und muss gelöst werden.

Abweichungen und Bereitstellung neuer Konten

Wenn sich Ihre landing zone im Drift-Zustand befindet, funktioniert die Funktion „Konto registrieren“ in AWS Control Tower nicht. In diesem Fall müssen Sie neue Konten über den AWS Service Catalog bereitstellen. Anweisungen finden Sie unter Konten mit AWS Service Catalog Account Factory bereitstellen .

Insbesondere wenn Sie mithilfe des Service Catalog bestimmte Änderungen an Ihren Konten vorgenommen haben, z. B. den Namen Ihres Portfolios geändert haben, funktioniert die Funktion Konto registrieren nicht.