Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Lebenszyklusereignisse in AWS Control Tower
Einige von AWS Control Tower protokollierte Ereignisse sind Lebenszyklusereignisse . Der Zweck eines Lebenszyklusereignisses besteht darin, den Abschluss bestimmter AWS Control Tower-Aktionen zu markieren, die den Status von Ressourcen ändern. Lebenszyklusereignisse gelten für Ressourcen, die AWS Control Tower erstellt oder verwaltet, wie Organisationseinheiten (OUs), Konten und Kontrollen.
Merkmale von AWS Control Tower-Lebenszyklusereignissen
-
Für jedes Lebenszyklusereignis zeigt das Ereignisprotokoll an, ob die ursprüngliche Control Tower-Aktion erfolgreich abgeschlossen wurde oder fehlgeschlagen ist.
-
AWS CloudTrail zeichnet jedes Lebenszyklusereignis automatisch als Nicht-API- AWS Serviceereignis auf. Weitere Informationen finden Sie im AWS CloudTrail -Benutzerhandbuch.
-
Jedes Lebenszyklusereignis wird auch an die Amazon- EventBridge und Amazon CloudWatch -Events-Services übermittelt.
Lebenszyklusereignisse in AWS Control Tower bieten zwei Hauptvorteile:
-
Da ein Lebenszyklusereignis den Abschluss einer AWS Control Tower-Aktion registriert, können Sie eine Amazon EventBridge -Regel oder eine Amazon CloudWatch Events-Regel erstellen, die die nächsten Schritte in Ihrem Automatisierungsworkflow basierend auf dem Status des Lebenszyklusereignisses auslösen kann.
-
Die Protokolle bieten zusätzliche Details, um Administratoren und Prüfer bei der Überprüfung bestimmter Aktivitätstypen in Ihren Organisationen zu unterstützen.
Funktionsweise von Lebenszyklusereignissen
AWS Control Tower nutzt zur Implementierung seiner Aktionen mehrere Services. Daher wird jedes Lebenszyklusereignis erst aufgezeichnet, nachdem eine Reihe von Aktionen abgeschlossen ist. Wenn Sie beispielsweise ein Steuerelement für eine Organisationseinheit aktivieren, startet AWS Control Tower eine Reihe von Unterschritten, die die Anforderung implementieren. Das Endergebnis der gesamten Reihe von Unterschritten wird im Protokoll als Status des Lebenszyklusereignisses aufgezeichnet.
-
Wenn jeder zugrunde liegende Unterschritt erfolgreich abgeschlossen wurde, wird der Lebenszyklusereignis-Status als Succeeded (Erfolgreich) aufgezeichnet.
-
Wenn einer der zugrunde liegenden Unterschritte nicht erfolgreich abgeschlossen wurde, wird der Lebenszyklusereignis-Status als Failed (Fehlgeschlagen) aufgezeichnet.
Jedes Lebenszyklusereignis enthält einen protokollierten Zeitstempel, der anzeigt, wann die AWS Control Tower-Aktion initiiert wurde, und einen weiteren Zeitstempel, der anzeigt, wann das Lebenszyklusereignis abgeschlossen ist, wobei Erfolg oder Fehler markiert werden.
Anzeigen von Lebenszyklusereignissen im Control Tower
Sie können Lebenszyklusereignisse auf der Seite Aktivitäten in Ihrem AWS Control Tower-Dashboard anzeigen.
-
Um zur Seite Activities (Aktivitäten) zu gelangen, wählen Sie im linken Navigationsbereich die Option Activities (Aktivitäten) aus.
-
Um weitere Details zu einem bestimmten Ereignis zu erhalten, wählen Sie das Ereignis und dann oben rechts die Schaltfläche View Details (Details anzeigen) aus.
Weitere Informationen zur Integration von Lebenszyklusereignissen in AWS Control Tower in Ihre Workflows finden Sie in diesem Blogbeitrag unter Verwenden von Lebenszyklusereignissen zur Nachverfolgung von AWS-Control-Tower-Aktionen und zum Auslösen automatisierter Workflows
Erwartetes Verhalten von - CreateManagedAccount und UpdateManagedAccount -Lebenszyklusereignissen
Wenn Sie ein Konto erstellen oder ein Konto in AWS Control Tower registrieren, rufen diese beiden Aktionen dieselbe interne API auf. Wenn während des Prozesses ein Fehler auftritt, tritt dieser normalerweise auf, nachdem das Konto erstellt, aber nicht vollständig bereitgestellt wurde. Wenn Sie erneut versuchen, das Konto nach dem Fehler zu erstellen, oder wenn Sie versuchen, das bereitgestellte Produkt zu aktualisieren, sieht AWS Control Tower, dass das Konto bereits vorhanden ist.
Da das Konto vorhanden ist, zeichnet AWS Control Tower das UpdateManagedAccount Lebenszyklusereignis anstelle des CreateManagedAccount Lebenszyklusereignisses am Ende der Wiederholungsanforderung auf. Möglicherweise haben Sie aufgrund des Fehlers erwartet, dass ein anderes CreateManagedAccount Ereignis angezeigt wird. Das UpdateManagedAccount Lebenszyklusereignis ist jedoch das erwartete und gewünschte Verhalten.
Wenn Sie planen, Konten mithilfe automatisierter Methoden in AWS Control Tower zu erstellen oder zu registrieren, programmieren Sie die Lambda-Funktion so, dass sie nach UpdateManagedAccount Lebenszyklusereignissen sowie CreateManagedAccount Lebenszyklusereignissen sucht.
Namen des Lebenszyklusereignis
Jedes Lebenszyklusereignis ist so benannt, dass es der ursprünglichen AWS Control Tower-Aktion entspricht, die auch von AWS aufgezeichnet wird CloudTrail. Daher heißt beispielsweise ein Lebenszyklusereignis, das vom AWS Control Tower-CreateManagedAccount CloudTrail Ereignis stammtCreateManagedAccount.
Jeder Name in der nachfolgenden Liste ist ein Link zu einem Beispiel der protokollierten Details im JSON-Format. Die zusätzlichen Details in diesen Beispielen stammen aus den Amazon- CloudWatch Ereignisprotokollen.
Obwohl JSON Kommentare nicht unterstützt, wurden zur Erläuterung einige Kommentare in den Beispielen hinzugefügt. Kommentaren wird "//" vorangestellt und sie werden auf der rechten Seite der Beispiele angezeigt.
In diesen Beispielen sind einige Kontonamen und Organisationsnamen verdeckt. Eine accountId ist immer eine 12-stellige Zahlenfolge, die in den Beispielen durch "xxxxxxxxxxxx" ersetzt wurde. Eine organizationalUnitID ist eine eindeutige Zeichenfolge aus Buchstaben und Zahlen. Ihre Form bleibt in den Beispielen erhalten.
-
CreateManagedAccount: Das Protokoll zeichnet auf, ob AWS Control Tower jede Aktion zum Erstellen und Bereitstellen eines neuen Kontos mithilfe der Account Factory erfolgreich abgeschlossen hat.
-
UpdateManagedAccount: Das Protokoll zeichnet auf, ob AWS Control Tower jede Aktion erfolgreich abgeschlossen hat, um ein bereitgestelltes Produkt zu aktualisieren, das einem Konto zugeordnet ist, das Sie zuvor mithilfe der Account Factory erstellt haben.
-
EnableGuardrail: Das Protokoll zeichnet auf, ob AWS Control Tower jede Aktion erfolgreich abgeschlossen hat, um eine Kontrolle für eine OU zu aktivieren, die von AWS Control Tower erstellt wurde.
-
DisableGuardrail: Das Protokoll zeichnet auf, ob AWS Control Tower jede Aktion erfolgreich abgeschlossen hat, um eine Kontrolle für eine OU zu deaktivieren, die von AWS Control Tower erstellt wurde.
-
SetupLandingZone: Das Protokoll zeichnet auf, ob AWS Control Tower jede Aktion erfolgreich abgeschlossen hat, um eine Landing Zone einzurichten.
-
UpdateLandingZone: Das Protokoll zeichnet auf, ob AWS Control Tower jede Aktion zur Aktualisierung Ihrer vorhandenen Landing Zone erfolgreich abgeschlossen hat.
-
RegisterOrganizationalUnit: Das Protokoll zeichnet auf, ob AWS Control Tower jede Aktion erfolgreich abgeschlossen hat, um seine Governance-Funktionen auf einer Organisationseinheit zu aktivieren.
-
DeregisterOrganizationalUnit: Das Protokoll zeichnet auf, ob AWS Control Tower jede Aktion erfolgreich abgeschlossen hat, um seine Governance-Funktionen für eine Organisationseinheit zu deaktivieren.
-
PrecheckOrganizationalUnit: Das Protokoll zeichnet auf, ob AWS Control Tower eine Ressource erkannt hat, die verhindern würde, dass der Vorgang „Governance erweitern“ erfolgreich abgeschlossen wird.
Die folgenden Abschnitte enthalten eine Liste der Lebenszyklusereignisse von AWS Control Tower mit Beispielen für die Details, die für jede Art von Lebenszyklusereignis protokolliert wurden.
CreateManagedAccount
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower mithilfe der Account Factory erfolgreich ein neues Konto erstellt und bereitgestellt hat. Dieses Ereignis entspricht dem AWS Control Tower-CreateManagedAccount CloudTrail Ereignis. Das Lebenszyklusereignis-Protokoll enthält den accountName und die accountId des neu erstellten Kontos und den organizationalUnitName und die organizationalUnitId der Organisationseinheit, in der sich das Konto befindet.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
UpdateManagedAccount
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower das bereitgestellte Produkt erfolgreich aktualisiert hat, das einem Konto zugeordnet ist, das zuvor mithilfe der Account Factory erstellt wurde. Dieses Ereignis entspricht dem AWS Control Tower-UpdateManagedAccount CloudTrailEreignis. Das Lebenszyklusereignis-Protokoll enthält den accountName und die accountId des zugeordneten Kontos und den organizationalUnitName und die organizationalUnitId der Organisationseinheit, in der sich das aktualisierte Konto befindet.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization management account. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"624281831893" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
EnableGuardrail
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower erfolgreich eine Kontrolle für eine OU aktiviert hat, die von AWS Control Tower verwaltet wird. Dieses Ereignis entspricht dem AWS Control Tower-EnableGuardrail CloudTrail Ereignis. Das Lebenszyklusereignisprotokoll enthält die guardrailId und guardrailBehavior der Kontrolle sowie die organizationalUnitName und organizationalUnitId der Organisationseinheit, für die die Kontrolle aktiviert ist.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
DisableGuardrail
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower eine Kontrolle über eine OU, die von AWS Control Tower verwaltet wird, erfolgreich deaktiviert hat. Dieses Ereignis entspricht dem AWS Control Tower-DisableGuardrail CloudTrail Ereignis. Das Lebenszyklus-Ereignisprotokoll enthält die guardrailId und guardrailBehavior der Kontrolle sowie die organizationalUnitName und organizationalUnitId der Organisationseinheit, für die die Kontrolle deaktiviert ist.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
SetupLandingZone
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower erfolgreich eine Landing Zone eingerichtet hat. Dieses Ereignis entspricht dem AWS Control Tower-SetupLandingZone CloudTrail Ereignis. Das Lebenszyklusereignisprotokoll enthält die rootOrganizationalId, die ID der Organisation, die AWS Control Tower aus dem Verwaltungskonto erstellt. Der Protokolleintrag enthält auch die organizationalUnitName und organizationalUnitId für jede der OUs sowie die accountName und accountId für jedes Konto, die erstellt werden, wenn AWS Control Tower die Landing Zone einrichtet.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
UpdateLandingZone
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower Ihre vorhandene Landing Zone erfolgreich aktualisiert hat. Dieses Ereignis entspricht dem AWS Control Tower-UpdateLandingZone CloudTrail Ereignis. Das Lebenszyklusereignisprotokoll enthält die rootOrganizationalId, die die ID der (aktualisierten) Organisation ist, die von AWS Control Tower verwaltet wird. Der Protokolleintrag enthält auch die organizationalUnitName und organizationalUnitId für jede der OUs sowie die accountName und accountId für jedes Konto, die zuvor erstellt wurden, als AWS Control Tower die Landing Zone ursprünglich eingerichtet hat.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
RegisterOrganizationalUnit
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower seine Governance-Funktionen erfolgreich auf einer Organisationseinheit aktiviert hat. Dieses Ereignis entspricht dem AWS Control Tower-RegisterOrganizationalUnit CloudTrail Ereignis. Das Lebenszyklus-Ereignisprotokoll enthält die organizationalUnitName und organizationalUnitId der Organisationseinheit, die AWS Control Tower in seine Governance aufgenommen hat.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
DeregisterOrganizationalUnit
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower seine Governance-Funktionen auf einer Organisationseinheit erfolgreich deaktiviert hat. Dieses Ereignis entspricht dem AWS Control Tower-DeregisterOrganizationalUnit CloudTrail Ereignis. Das Lebenszyklusereignisprotokoll enthält die organizationalUnitName und organizationalUnitId der Organisationseinheit, für die AWS Control Tower seine Governance-Funktionen deaktiviert hat.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", // Foundational OU name. "organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID. }, "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
PrecheckOrganizationalUnit
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower Vorabprüfungen an einer Organisationseinheit erfolgreich durchgeführt hat. Dieses Ereignis entspricht dem AWS Control Tower-PrecheckOrganizationalUnit CloudTrail Ereignis. Das Lebenszyklusereignisprotokoll enthält ein Feld für die failedPrechecks Werte IdName, und für jede Ressource, für die AWS Control Tower während des OU-Registrierungsprozesses Vorabprüfungen durchgeführt hat.
Das Ereignisprotokoll enthält auch Informationen zu den verschachtelten Konten, für die die Vorabprüfungen durchgeführt wurden, einschließlich der failedPrechecks Felder accountId, und accountName.
Wenn der failedPrechecks Wert leer ist, bedeutet dies, dass alle Vorabprüfungen für diese Ressource erfolgreich bestanden wurden.
-
Dieses Ereignis wird nur ausgegeben, wenn eine Vorprüfung fehlschlägt.
-
Dieses Ereignis wird nicht ausgegeben, wenn Sie eine leere Organisationseinheit registrieren.
Beispiel für ein Ereignis:
{ "eventVersion": "1.08", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2021-09-20T22:45:43Z", "eventSource": "controltower.amazonaws.com", "eventName": "PrecheckOrganizationalUnit", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "precheckOrganizationalUnitStatus": { "organizationalUnit": { "organizationalUnitName": "Ou-123", "organizationalUnitId": "ou-abcd-123456", "failedPrechecks": [ "SCP_CONFLICT" ] }, "accounts": [ { "accountName": "Child Account 1", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Child Account 2", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Management Account", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "MISSING_PERMISSIONS_AF_PRODUCT" ] }, { "accountName": "Child Account 3", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [] }, ... ], "state": "FAILED", "message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.", "requestedTimestamp": "2021-09-20T22:44:02+0000", "completedTimestamp": "2021-09-20T22:45:43+0000" } }, "eventCategory": "Management" }
