Lebenszyklusereignisse in AWS Control Tower - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Lebenszyklusereignisse in AWS Control Tower

Einige Ereignisse, die von AWS Control Tower protokolliert werden, sind Lebenszyklusereignisse. Der Zweck eines Lebenszyklusereignisses besteht darin, den Abschluss bestimmter AWS Control Tower-Aktionen zu markieren, die den Status der Ressourcen ändern. Lebenszyklusereignisse gelten für Ressourcen, die AWS Control Tower erstellt oder verwaltet, wie Organisationseinheiten, Konten und Leitlinien.

Merkmale von AWS Control Tower-Lebenszyklusereignissen

  • Für jedes Lebenszyklusereignis zeigt das Ereignisprotokoll an, ob die ursprüngliche Control Tower-Aktion erfolgreich abgeschlossen wurde oder fehlgeschlagen ist.

  • AWS CloudTrail zeichnet jedes Lebenszyklusereignis automatisch als Nicht-API-AWS-Serviceereignis auf. Weitere Informationen finden Sie unter im AWS CloudTrail-Benutzerhandbuch.

  • Jedes Lebenszyklusereignis wird auch an die Amazon EventBridge- und Amazon CloudWatch Events-Services übermittelt.

Lebenszyklusereignisse in AWS Control Tower bieten zwei Hauptvorteile:

  • Da ein Lebenszyklusereignis den Abschluss einer AWS Control Tower-Aktion registriert, können Sie eine Amazon EventBridge-Regel oder eine Amazon CloudWatch Events-Regel erstellen, die die nächsten Schritte in Ihrem Automatisierungsworkflow basierend auf dem Status des Lebenszyklusereignisses auslösen kann.

  • Die Protokolle bieten zusätzliche Details, um Administratoren und Prüfer bei der Überprüfung bestimmter Aktivitätstypen in Ihren Organisationen zu unterstützen.

Funktionsweise von Lebenszyklusereignissen

AWS Control Tower verwendet für die Implementierung seiner Aktionen mehrere Services. Daher wird jedes Lebenszyklusereignis erst aufgezeichnet, nachdem eine Reihe von Aktionen abgeschlossen ist. Wenn Sie beispielsweise eine Leitlinie für eine Organisationseinheit aktivieren, startet AWS Control Tower eine Reihe von Unterschritten, die die Anforderung implementieren. Das Endergebnis der gesamten Reihe von Unterschritten wird im Protokoll als Status des Lebenszyklusereignisses aufgezeichnet.

  • Wenn jeder zugrunde liegende Unterschritt erfolgreich abgeschlossen wurde, wird der Lebenszyklusereignis-Status als Succeeded (Erfolgreich). aufgezeichnet.

  • Wenn einer der zugrunde liegenden Unterschritte nicht erfolgreich abgeschlossen wurde, wird der Lebenszyklusereignis-Status als Failed (Fehlgeschlagen). aufgezeichnet.

Jedes Lebenszyklusereignis enthält einen protokollierten Zeitstempel, der anzeigt, wann die AWS Control Tower-Aktion gestartet wurde, und einen weiteren Zeitstempel, der anzeigt, wann das Lebenszyklusereignis abgeschlossen ist, und so die erfolgreiche oder fehlgeschlagene Ausführung kennzeichnet.

Anzeigen von Lebenszyklusereignissen im Control Tower

Sie können Lebenszyklusereignisse auf der Seite Activities (Aktivitäten) in Ihrem AWS Control Tower-Dashboard anzeigen.

  • Um zur Seite Activities (Aktivitäten) zu navigieren, wählen Sie im linken Navigationsbereich Activities (Aktivitäten) aus.

  • Um weitere Details zu einem bestimmten Ereignis zu erhalten, wählen Sie das Ereignis und dann die Schaltfläche View details (Details anzeigen) oben rechts aus.

Weitere Informationen zur Integration von AWS Control Tower-Lebenszyklusereignissen in Ihre Workflows finden Sie in diesem Blog-Beitrag: Using lifecycle events to track AWS Control Tower actions and trigger automated workflows.

Erwartetes Verhalten von CreateManagedAccount- und UpdateManagedAccount-Lebenszyklusereignissen

Wenn Sie ein Konto erstellen oder ein Konto in AWS Control Tower anmelden, rufen diese beiden Aktionen dieselbe interne API auf. Wenn während des Vorgangs ein Fehler auftritt, tritt dieser in der Regel auf, nachdem das Konto erstellt wurde, aber nicht vollständig bereitgestellt wurde. Wenn Sie versuchen, das Konto nach dem Fehler erneut zu erstellen, oder wenn Sie versuchen, das bereitgestellte Produkt zu aktualisieren, erkennt AWS Control Tower, dass das Konto bereits vorhanden ist.

Da das Konto vorhanden ist, zeichnet AWS Control Tower das UpdateManagedAccount-Lebenszyklusereignis anstelle des CreateManagedAccount-Lebenszyklusereignisses am Ende der Wiederholungsanforderung auf. Möglicherweise wurde aufgrund des Fehlers ein anderes UpdateManagedAccount-Ereignis erwartet. Das UpdateManagedAccount-Lebenszyklusereignis ist jedoch das erwartete und gewünschte Verhalten.

Wenn Sie Konten mit automatisierten Methoden in AWS Control Tower erstellen oder anmelden möchten, programmieren Sie die Lambda-Funktion so, dass sie nach UpdateManagedAccount-Lebenszyklusereignissen sowie CreateManagedAccount-Lebenszyklusereignissen sucht.

Namen des Lebenszyklusereignis

Jedes Lebenszyklusereignis wird so benannt, dass es der ursprünglichen AWS Control Tower-Aktion entspricht, die auch von AWS CloudTrail aufgezeichnet wird. Daher wird ein Lebenszyklusereignis, das aus dem AWS Control Tower CreateManagedAccount CloudTrail-Ereignis stammt, CreateManagedAccount genannt.

Jeder Name in der nachfolgenden Liste ist ein Link zu einem Beispiel der protokollierten Details im JSON-Format. Die zusätzlichen Details in diesen Beispielen stammen aus den Amazon CloudWatch-Ereignisprotokollen.

Obwohl JSON Kommentare nicht unterstützt, wurden zur Erläuterung einige Kommentare in den Beispielen hinzugefügt. Kommentaren wird "//" vorangestellt und sie werden auf der rechten Seite der Beispiele angezeigt.

In diesen Beispielen sind einige Kontonamen und Organisationsnamen verdeckt. Eine accountId ist immer eine 12-stellige Zahlenfolge, die in den Beispielen durch "xxxxxxxxxxxx" ersetzt wurde. Eine organizationalUnitID ist eine eindeutige Zeichenfolge aus Buchstaben und Zahlen. Ihre Form bleibt in den Beispielen erhalten.

  • CreateManagedAccount: Das Protokoll zeichnet auf, ob AWS Control Tower jede Aktion zum Erstellen und Bereitstellen eines neuen Kontos mithilfe von Account Factory erfolgreich abgeschlossen hat.

  • UpdateManagedAccount: Im Protokoll wird aufgezeichnet, ob AWS Control Tower jede Aktion zum Aktualisieren eines bereitgestellten Produkts, das einem Konto zugeordnet ist, das Sie zuvor mithilfe von Account Factory erstellt hatten, erfolgreich abgeschlossen hat.

  • EnableGuardrail: Im Protokoll wird aufgezeichnet, ob AWS Control Tower jede Aktion erfolgreich abgeschlossen hat, um eine Leitlinie für eine Organisationseinheit zu aktivieren, die von AWS Control Tower erstellt wurde.

  • DisableGuardrail: Im Protokoll wird aufgezeichnet, ob AWS Control Tower jede Aktion zum Deaktivieren einer Leitlinie für eine Organisationseinheit, die von AWS Control Tower erstellt wurde, erfolgreich abgeschlossen hat.

  • SetupLandingZone: Das Protokoll zeichnet auf, ob AWS Control Tower jede Aktion zum Einrichten einer Landing Zone erfolgreich abgeschlossen hat.

  • UpdateLandingZone: Im Protokoll wird aufgezeichnet, ob AWS Control Tower jede Aktion zum Aktualisieren Ihrer vorhandenen Landing Zone erfolgreich abgeschlossen hat.

  • RegisterOrganizationalUnit: Im Protokoll wird aufgezeichnet, ob AWS Control Tower jede Aktion zum Aktivieren der Governance-Funktionen für eine Organisationseinheit erfolgreich abgeschlossen hat.

  • DeregisterOrganizationalUnit: Im Protokoll wird aufgezeichnet, ob AWS Control Tower jede Aktion zum Deaktivieren der Governance-Funktionen für eine Organisationseinheit erfolgreich abgeschlossen hat.

Die folgenden Abschnitte enthalten eine Liste der AWS Control Tower-Lebenszyklusereignisse mit Beispielen für die Details, die für jeden Lebenszyklusereignis-Typ protokolliert wurden.

CreateManagedAccount

Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower ein neues Konto mithilfe von Account Factory erfolgreich erstellt und bereitgestellt hat. Dieses Ereignis entspricht dem AWS Control Tower-Ereignis CreateManagedAccount CloudTrail. Das Lebenszyklusereignis-Protokoll enthält den accountName und die accountId des neu erstellten Kontos und den organizationalUnitName und die organizationalUnitId der Organisationseinheit, in der sich das Konto befindet.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Verwaltungskonto ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }

UpdateManagedAccount

Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower das bereitgestellte Produkt, das einem Konto zugeordnet ist, das zuvor mithilfe von Account Factory erstellt wurde, erfolgreich aktualisiert hat. Dieses Ereignis entspricht dem Ereignis AWS Control Tower UpdateManagedAccount CloudTrail. Das Lebenszyklusereignis-Protokoll enthält den accountName und die accountId des zugeordneten Kontos und den organizationalUnitName und die organizationalUnitId der Organisationseinheit, in der sich das aktualisierte Konto befindet.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization Verwaltungskonto. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"624281831893" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }

EnableGuardrail

Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower eine Leitlinie für eine Organisationseinheit, die von AWS Control Tower. verwaltet wird, erfolgreich aktiviert hat. Dieses Ereignis entspricht dem Ereignis AWS Control Tower EnableGuardrail.CloudTrail Das Lebenszyklusereignis-Protokoll enthält die guardrailId und das guardrailBehavior der Leitlinie sowie den organizationalUnitName und die organizationalUnitId der Organisationseinheit, für die die Leitlinie aktiviert ist.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }

DisableGuardrail

Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower eine Leitlinie für eine Organisationseinheit, die von AWS Control Tower. verwaltet wird, erfolgreich deaktiviert hat. Dieses Ereignis entspricht dem Ereignis AWS Control Tower DisableGuardrail CloudTrail. Das Lebenszyklusereignis-Protokoll enthält die guardrailId und das guardrailBehavior der Leitlinie sowie den organizationalUnitName und die organizationalUnitId der Organisationseinheit, für die die Leitlinie deaktiviert ist.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } } }

SetupLandingZone

Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower erfolgreich eine Landing Zone eingerichtet hat. Dieses Ereignis entspricht dem Ereignis AWS Control Tower SetupLandingZone.CloudTrail Das Lebenszyklusereignisprotokoll enthält die rootOrganizationalId, also die ID der Organisation, die AWS Control Tower aus dem Verwaltungskonto erstellt. Der Protokolleintrag enthält auch die organizationalUnitName und organizationalUnitId für jede der OUs sowie die accountName und accountId für jedes Konto, die erstellt werden, wenn AWS Control Tower die Landing Zone einrichtet.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Verwaltungskonto ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Verwaltungskonto CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234" "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Core", // Core OU name. "organizationalUnitId": "ou-adpf-302pk332" // Core OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

UpdateLandingZone

Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower Ihre vorhandene Landing Zone erfolgreich aktualisiert hat. Dieses Ereignis entspricht dem Ereignis AWS Control Tower UpdateLandingZone CloudTrail. Das Lebenszyklusereignis-Protokoll enthält die rootOrganizationalId, also die ID der (aktualisierten) Organisation, die von AWS Control Tower. verwaltet wird. Der Protokolleintrag enthält auch die organizationalUnitName und organizationalUnitId für jede der OUs sowie die accountName und accountId für jedes Konto, die zuvor erstellt wurden, als AWS Control Tower die Landing Zone ursprünglich eingerichtet hat.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Verwaltungskonto ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Verwaltungskonto CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Verwaltungskonto ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234" "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Core", // Core OU name. "organizationalUnitId": "ou-adpf-302pk332" // Core OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

RegisterOrganizationalUnit

In diesem Lebenszyklusereignis wird aufgezeichnet, ob AWS Control Tower die Governance-Funktionen auf einer OU erfolgreich aktiviert hat. Dieses Ereignis entspricht dem Ereignis AWS Control Tower RegisterOrganizationalUnit CloudTrail. Das Lebenszyklusereignis-Protokoll enthält den organizationalUnitName und die organizationalUnitId der Organisationseinheit, die AWS Control Tower nun verwaltet.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit." "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

DeregisterOrganizationalUnit

In diesem Lebenszyklusereignis wird aufgezeichnet, ob AWS Control Tower die Governance-Funktionen auf einer OU erfolgreich deaktiviert hat. Dieses Ereignis entspricht dem Ereignis AWS Control Tower DeregisterOrganizationalUnit CloudTrail. Das Lebenszyklusereignis-Protokoll enthält den organizationalUnitName und die organizationalUnitId der Organisationseinheit, für die AWS Control Tower die Governance-Funktionen deaktiviert hat.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit." "organizationalUnit" : { "organizationalUnitName": "Test", // Core OU name. "organizationalUnitId": "ou-adpf-302pk332" // Core OU ID. } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } } }