Arten von Governance-Abweichungen - AWS Control Tower
Moved Member Account (Mitgliedskonto verschoben)Removed Member Account (Mitgliedskonto entfernt)Unplanned Update to Managed SCP (Außerplanmäßige Aktualisierung einer verwalteten SCP)SCP Attached to Managed OU (SCP ist einer verwalteten Organisationseinheit zugeordnet)SCP Detached from Managed OU (SCP von verwalteter Organisationseinheit getrennt)SCP Attached to Member Account (SCP ist einem Mitgliedskonto zugeordnet)Die grundlegende Organisationseinheit wurde gelöschtSecurity Hub steuert DriftVertrauenswürdiger Zugriff deaktiviert

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arten von Governance-Abweichungen

Abweichungen in der Unternehmensführung, auch organisatorisches Drift genannt, treten auf, wenn OUs, SCPs und Mitgliedskonten geändert oder aktualisiert werden. Folgende Arten von Governance-Abweichungen können in AWS Control Tower erkannt werden:

Eine andere Art von Drift ist die Landezonendrift, die über das Verwaltungskonto ermittelt werden kann. Ein Drift in der Landezone besteht aus einer Verschiebung der IAM-Rollen oder jeder Art von organisatorischer Drift, die sich speziell auf grundlegende Organisationseinheiten und gemeinsam genutzte Konten auswirkt.

Ein Sonderfall von Landezonendrift ist die Rollendrift, die erkannt wird, wenn eine benötigte Rolle nicht verfügbar ist. Wenn diese Art von Abweichung auftritt, zeigt die Konsole eine Warnseite und einige Anweisungen zur Wiederherstellung der Rolle an. Ihre landing zone ist nicht verfügbar, bis der Rollenwechsel behoben ist. Weitere Informationen zu Drift finden Sie im Abschnitt „Erforderliche Rollen nicht löschenArten von Abweichungen, die sofort behoben werden müssen.

AWS Control Tower sucht nicht nach Abweichungen in Bezug auf andere Services, die mit dem Verwaltungskonto funktionieren CloudTrail CloudWatch, einschließlich,, IAM Identity Center AWS CloudFormation AWS Config,, usw. Bei Konten von Kindern ist keine Erkennung von Abweichungen verfügbar, da diese Konten durch präventive obligatorische Kontrollen geschützt sind.

Es werden jedoch Abweichungen in Bezug auf Kontrollen gemeldet, die Teil des AWS Security Hub Service-Managed Standard sind: AWS Control Tower.

Moved Member Account (Mitgliedskonto verschoben)

Diese Art von Abweichung tritt eher auf dem Konto als auf der Organisationseinheit auf. Diese Art von Abweichung kann auftreten, wenn ein AWS Control Tower Tower-Mitgliedskonto, das Auditkonto oder das Protokollarchiv-Konto von einer registrierten AWS Control Tower Tower-Organisationseinheit in eine andere Organisationseinheit verschoben wird. Das Folgende ist ein Beispiel für die Amazon SNS SNS-Benachrichtigung, wenn diese Art von Abweichung erkannt wird.


{
  "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
  "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 300 accounts, you must update the provisioned product in Account Factory.",
  "AccountId" : "012345678909",
  "SourceId" : "012345678909",
  "DestinationId" : "ou-3210-1EXAMPLE"
}

Lösungen

Wenn diese Art von Abweichung bei einem von Account Factory bereitgestellten Konto in einer Organisationseinheit mit bis zu 300 Konten auftritt, können Sie sie wie folgt beheben:

  • Navigieren Sie in der AWS Control Tower Tower-Konsole zur Organisationsseite, wählen Sie das Konto aus und wählen Sie oben rechts Konto aktualisieren (schnellste Option für einzelne Konten).

  • Navigieren Sie in der AWS Control Tower Tower-Konsole zur Organisationsseite und wählen Sie dann Erneut registrieren für die Organisationseinheit, die das Konto enthält (schnellste Option für mehrere Konten). Weitere Informationen finden Sie unter Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower.

  • Aktualisierung des bereitgestellten Produkts in Account Factory. Weitere Informationen finden Sie unter Aktualisierung und Verschiebung von Accountfactory-Konten mit AWS Control Tower oder mit AWS Service Catalog.

    Anmerkung

    Wenn Sie mehrere individuelle Konten aktualisieren müssen, finden Sie auch diese Methode zum Durchführen von Aktualisierungen mit einem Skript:Konten mithilfe von Automatisierung bereitstellen und aktualisieren.

  • Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 300 Konten auftritt, kann die Auflösung der Abweichung davon abhängen, welcher Kontotyp verschoben wurde, wie in den nächsten Absätzen erläutert. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.

    • Wenn ein von Account Factory bereitgestelltes Konto verschoben wird — In einer OU mit weniger als 300 Konten können Sie die Kontoverschiebung beheben, indem Sie das bereitgestellte Produkt in Account Factory aktualisieren, die OU erneut registrieren oder Ihre landing zone aktualisieren.

      In einer Organisationseinheit mit mehr als 300 Konten müssen Sie die Abweichung beheben, indem Sie für jedes verschobene Konto eine Aktualisierung vornehmen, entweder über die AWS Control Tower Tower-Konsole oder das bereitgestellte Produkt, da die Aktualisierung durch eine erneute Registrierung der Organisationseinheit nicht durchgeführt wird. Weitere Informationen finden Sie unter Aktualisierung und Verschiebung von Accountfactory-Konten mit AWS Control Tower oder mit AWS Service Catalog.

    • Wenn ein geteiltes Konto verschoben wird — Sie können die Abweichung vom Verschieben des Audit- oder Protokollarchiv-Kontos beheben, indem Sie Ihre landing zone aktualisieren. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.

Veralteter Feldname

Der Feldname MasterAccountID wurde geändert, sodass er den Richtlinien ManagementAccountID entspricht AWS . Der alte Name ist veraltet. Ab 2022 funktionieren Skripts, die den veralteten Feldnamen enthalten, nicht mehr.

Removed Member Account (Mitgliedskonto entfernt)

Diese Art von Abweichung kann auftreten, wenn ein Mitgliedskonto aus einer registrierten AWS Control Tower Tower-Organisationseinheit entfernt wird. Das folgende Beispiel zeigt die Amazon SNS SNS-Benachrichtigung, wenn diese Art von Drift erkannt wird.


{
  "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION",
  "RemediationStep" : "Add account to Organization and update Account Factory provisioned product",
  "AccountId" : "012345678909"
}

Auflösung

  • Wenn diese Art von Abweichung in einem Mitgliedskonto auftritt, können Sie die Abweichung beheben, indem Sie das Konto in der AWS Control Tower Tower-Konsole oder in Account Factory aktualisieren. Sie können das Konto beispielsweise über den Account Factory Factory-Update-Assistenten zu einer anderen registrierten Organisationseinheit hinzufügen. Weitere Informationen finden Sie unter Aktualisierung und Verschiebung von Accountfactory-Konten mit AWS Control Tower oder mit AWS Service Catalog.

  • Wenn ein gemeinsam genutzter Account aus einer Foundational OU entfernt wird, müssen Sie die Abweichung beheben, indem Sie Ihre landing zone zurücksetzen. Solange dieser Fehler nicht behoben ist, können Sie die AWS Control Tower Tower-Konsole nicht verwenden.

  • Weitere Informationen zum Beheben von Abweichungen für Konten und OUs finden Sie unter Wenn Sie Ressourcen außerhalb von AWS Control Tower verwalten.

Anmerkung

In Service Catalog wird das von Account Factory bereitgestellte Produkt, das das Konto darstellt, nicht aktualisiert, um das Konto zu entfernen. Stattdessen wird das bereitgestellte Produkt als TAINTED und in einem Fehlerzustand angezeigt. Gehen Sie zum Aufräumen zum Service Catalog, wählen Sie das bereitgestellte Produkt aus und klicken Sie dann auf Terminate.

Unplanned Update to Managed SCP (Außerplanmäßige Aktualisierung einer verwalteten SCP)

Diese Art von Abweichung kann auftreten, wenn ein SCP für ein Steuerelement in der AWS Organizations Konsole oder programmgesteuert mithilfe des AWS CLI oder eines der AWS-SDKs aktualisiert wird. Das Folgende ist ein Beispiel für die Amazon SNS SNS-Benachrichtigung, wenn diese Art von Abweichung erkannt wird.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_UPDATED",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

Auflösung

Wenn eine solche Abweichung in einer Organisationseinheit mit bis zu 300 Konten auftritt, können Sie sie wie folgt beheben:

Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 300 Konten auftritt, beheben Sie das Problem, indem Sie Ihre landing zone aktualisieren. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.

SCP Attached to Managed OU (SCP ist einer verwalteten Organisationseinheit zugeordnet)

Diese Art von Abweichung kann auftreten, wenn ein SCP für eine Steuerung an eine andere Organisationseinheit angehängt ist. Dieses Ereignis tritt besonders häufig auf, wenn Sie von außerhalb der AWS Control Tower Tower-Konsole an Ihren Organisationseinheiten arbeiten. Das Folgende ist ein Beispiel für die Amazon SNS SNS-Benachrichtigung, wenn diese Art von Abweichung erkannt wird.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

Auflösung

Wenn eine solche Abweichung in einer Organisationseinheit mit bis zu 300 Konten auftritt, können Sie sie wie folgt beheben:

Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 300 Konten auftritt, beheben Sie das Problem, indem Sie Ihre landing zone aktualisieren. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.

SCP Detached from Managed OU (SCP von verwalteter Organisationseinheit getrennt)

Diese Art von Abweichung kann auftreten, wenn ein SCP für eine Steuerung von einer OU getrennt wurde, die von AWS Control Tower verwaltet wird. Dieses Ereignis tritt besonders häufig auf, wenn Sie von außerhalb der AWS Control Tower Tower-Konsole arbeiten. Das Folgende ist ein Beispiel für die Amazon SNS SNS-Benachrichtigung, wenn diese Art von Abweichung erkannt wird.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_DETACHED_FROM_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

Auflösung

Wenn eine solche Abweichung in einer Organisationseinheit mit bis zu 300 Konten auftritt, können Sie sie wie folgt beheben:

  • Navigieren Sie zur OU in der AWS Control Tower Tower-Konsole, um die OU erneut zu registrieren (schnellste Option). Weitere Informationen finden Sie unter Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower.

  • Aktualisierung Ihrer landing zone (langsamere Option). Wenn sich die Abweichung auf eine obligatorische Kontrolle auswirkt, erstellt der Aktualisierungsprozess eine neue Service Control Policy (SCP) und fügt sie der OU hinzu, um die Abweichung zu beheben. Weitere Informationen zum Aktualisieren Ihrer landing zone finden Sie unterAktualisiere deine landing zone.

Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 300 Konten auftritt, beheben Sie das Problem, indem Sie Ihre landing zone aktualisieren. Wenn sich die Abweichung auf eine obligatorische Kontrolle auswirkt, erstellt der Aktualisierungsprozess eine neue Service Control Policy (SCP) und fügt sie der OU hinzu, um die Abweichung zu beheben. Weitere Informationen zum Aktualisieren Ihrer landing zone finden Sie unterAktualisiere deine landing zone.

SCP Attached to Member Account (SCP ist einem Mitgliedskonto zugeordnet)

Diese Art von Abweichung kann auftreten, wenn ein SCP für eine Kontrolle mit einem Konto in der Organisationskonsole verknüpft ist. Guardrails und ihre SCPs können über die AWS Control Tower Tower-Konsole für OUs aktiviert (und somit auf alle registrierten Konten einer OU angewendet) werden. Das Folgende ist ein Beispiel für die Amazon SNS SNS-Benachrichtigung, wenn diese Art von Abweichung erkannt wird.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_ACCOUNT",
  "RemediationStep" : "Re-register this organizational unit (OU)",
  "AccountId" : "012345678909",
  "PolicyId" : "p-tEXAMPLE"
}

Auflösung

Diese Art von Abweichung tritt eher auf dem Konto als auf der Organisationseinheit auf.

Wenn diese Art von Abweichung bei Konten in einer Foundational OU, wie der Security OU, auftritt, besteht die Lösung darin, Ihre landing zone zu aktualisieren. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.

Wenn eine solche Abweichung in einer Organisationseinheit auftritt, die nicht zu den Grundlagen gehört und bis zu 300 Konten hat, können Sie sie wie folgt beheben:

Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 300 Konten auftritt, können Sie versuchen, das Problem zu beheben, indem Sie die werkseitige Konfiguration des Kontos für das Konto aktualisieren. Es ist möglicherweise nicht möglich, das Problem erfolgreich zu lösen. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.

Die grundlegende Organisationseinheit wurde gelöscht

Diese Art von Abweichung gilt nur für AWS Control Tower Foundational OUs, wie z. B. die Security OU. Es kann vorkommen, wenn eine Foundational OU außerhalb der AWS Control Tower Tower-Konsole gelöscht wird. Grundlegende Organisationseinheiten können nicht verschoben werden, ohne dass es zu einer solchen Abweichung kommt, da das Verschieben einer Organisationseinheit dasselbe ist wie das Löschen und das anschließende Hinzufügen an einer anderen Stelle. Wenn Sie die Abweichung beheben, indem Sie Ihre landing zone aktualisieren, ersetzt AWS Control Tower die Foundational OU am ursprünglichen Standort. Das folgende Beispiel zeigt eine Amazon SNS SNS-Benachrichtigung, die Sie möglicherweise erhalten, wenn diese Art von Abweichung erkannt wird.


{
  "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ORGANIZATIONAL_UNIT_DELETED",
  "RemediationStep" : "Delete organizational unit in Control Tower",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE"
}

Auflösung

Da diese Abweichung nur bei Foundational OUs auftritt, besteht die Lösung darin, die landing zone zu aktualisieren. Wenn andere Arten von Organisationseinheiten gelöscht werden, wird AWS Control Tower automatisch aktualisiert.

Weitere Informationen zum Beheben von Abweichungen für Konten und OUs finden Sie unter Wenn Sie Ressourcen außerhalb von AWS Control Tower verwalten.

Security Hub steuert Drift

Diese Art von Abweichung tritt auf, wenn eine Steuerung, die Teil des AWS Security Hub Service-Managed Standard: AWS Control Tower ist, einen Drift-Status meldet. Der AWS Security Hub Service selbst meldet keinen Drift-Status für diese Kontrollen. Stattdessen sendet der Service seine Ergebnisse an AWS Control Tower.

Kontrollabweichungen im Security Hub können auch festgestellt werden, wenn AWS Control Tower seit mehr als 24 Stunden kein Status-Update von Security Hub erhalten hat. Wenn diese Ergebnisse nicht wie erwartet eingehen, überprüft AWS Control Tower, ob die Kontrolle nicht stimmt. Das folgende Beispiel zeigt eine Amazon SNS SNS-Benachrichtigung, die Sie möglicherweise erhalten, wenn diese Art von Abweichung erkannt wird.

{
"Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard",
"MasterAccountId" : "123456789XXX",
"ManagementAccountId" : "123456789XXX",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SECURITY_HUB_CONTROL_DISABLED",
"RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.",
"AccountId" : "7876543219XXX",
"ControlId" : "PYBETSAGNUZB",
"ControlName" : "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB",
"Region" : "us-east-1"
}

Auflösung

Bei Organisationseinheiten mit weniger als 300 Konten besteht die Lösung darin, die Organisationseinheit erneut zu registrieren, wodurch die Steuerung auf den ursprünglichen Status zurückgesetzt wird. Für jede Organisationseinheit können Sie die Steuerung über die Konsole oder die AWS Control Tower Tower-APIs entfernen und wieder aktivieren, wodurch auch die Steuerung zurückgesetzt wird.

Weitere Informationen zum Beheben von Abweichungen für Konten und OUs finden Sie unter Wenn Sie Ressourcen außerhalb von AWS Control Tower verwalten.

Vertrauenswürdiger Zugriff deaktiviert

Diese Art von Drift gilt für Landezonen im AWS Control Tower. Es tritt auf, wenn Sie den vertrauenswürdigen Zugriff auf AWS Control Tower deaktivieren, AWS Organizations nachdem Sie Ihre AWS Control Tower Tower-Landezone eingerichtet haben.

Wenn der vertrauenswürdige Zugriff deaktiviert ist, empfängt AWS Control Tower keine Änderungsereignisse mehr von AWS Organizations. AWS Control Tower ist darauf angewiesen, dass diese Änderungsereignisse synchronisiert bleiben AWS Organizations. Infolgedessen kann es sein, dass AWS Control Tower organisatorische Änderungen an Konten und Organisationseinheiten übersieht. Aus diesem Grund ist es wichtig, dass Sie jedes Mal, wenn Sie Ihre landing zone aktualisieren, jede Organisationseinheit neu registrieren.

Beispiel: Amazon SNS SNS-Benachrichtigung

Im Folgenden finden Sie ein Beispiel für die Amazon SNS SNS-Benachrichtigung, die Sie erhalten, wenn diese Art von Abweichung auftritt. 

{
  "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "TRUSTED_ACCESS_DISABLED",
  "RemediationStep" : "Reset Control Tower landing zone."
}

Auflösung

AWS Control Tower benachrichtigt Sie, wenn diese Art von Abweichung in der AWS Control Tower Tower-Konsole auftritt. Die Lösung besteht darin, Ihre AWS Control Tower Tower-Landezone zurückzusetzen. Weitere Informationen finden Sie unter Drift beheben.