Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Tipos de desviaciones de gobernanza
Los cambios en la gobernanza, también denominados cambios organizativos, se producen cuando se modifican o actualizan las OU, los SCP y las cuentas de los miembros. Los tipos de desviaciones en la gobernanza que se pueden detectar en la Torre de Control de AWS son los siguientes:
Otro tipo de deriva es la deriva de la zona de aterrizaje, que se puede encontrar en la cuenta de administración. La desviación de la zona de destino consiste en la desviación de las funciones de IAM o cualquier tipo de desviación organizacional que afecte específicamente a las unidades organizativas fundamentales y a las cuentas compartidas.
Un caso especial de desviación en la zona de landing zone es la desviación de roles, que se detecta cuando no hay disponible un rol requerido. Si se produce este tipo de desviación, la consola muestra una página de advertencia y algunas instrucciones sobre cómo restablecer el rol. Tu landing zone no estará disponible hasta que se resuelva el cambio de roles. Para obtener más información sobre la deriva, consulta No eliminar los roles obligatorios en la sección denominadaTipos de deriva que se deben resolver de inmediato.
AWS Control Tower no busca desviaciones con respecto a otros servicios que funcionan con la cuenta de administración CloudTrail CloudWatch, como el IAM Identity Center AWS CloudFormation AWS Config, etc. No se permite la detección de desviaciones en las cuentas secundarias, ya que estas cuentas están protegidas por controles preventivos obligatorios.
Sin embargo, sí informa de desviaciones con respecto a los controles que forman parte del estándar de AWS Security Hub administración de servicios: AWS Control Tower.
Cuenta de miembro trasladada
Este tipo de desviación se produce en la cuenta y no en la OU. Este tipo de desviación puede producirse cuando la cuenta de un miembro de la Torre de Control de AWS, la cuenta de auditoría o la cuenta del archivo de registros se traslada de una unidad organizativa de la Torre de Control de AWS registrada a cualquier otra unidad organizativa. El siguiente es un ejemplo de la notificación de Amazon SNS cuando se detecta este tipo de desviación.
{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 300 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }
Soluciones
Cuando se produce este tipo de desviación en una cuenta aprovisionada por Account Factory en una OU con hasta 300 cuentas, puede resolverlo de la siguiente manera:
-
Vaya a la página de la organización en la consola de la Torre de Control de AWS, seleccione la cuenta y elija Actualizar cuenta en la parte superior derecha (la opción más rápida para cuentas individuales).
-
Vaya a la página de la organización en la consola de la Torre de Control de AWS y, a continuación, seleccione Volver a registrarse en la OU que contiene la cuenta (la opción más rápida para varias cuentas). Para obtener más información, consulte Registrar una unidad organizativa existente en AWS Control Tower.
-
Actualización del producto aprovisionado en Account Factory. Para obtener más información, consulte Actualice y mueva cuentas de fábrica con AWS Control Tower o con AWS Service Catalog.
nota
Si tiene varias cuentas individuales que actualizar, consulte también este método para realizar actualizaciones con un script:Aprovisione y actualice las cuentas mediante la automatización.
-
Cuando este tipo de desviación se produce en una OU con más de 300 cuentas, la resolución puede depender del tipo de cuenta que se haya trasladado, como se explica en los párrafos siguientes. Para obtener más información, consulte Actualizar la zona de inicio.
-
Si se traslada una cuenta aprovisionada por Account Factory: en una OU con menos de 300 cuentas, puedes resolver el problema actualizando el producto aprovisionado en Account Factory, volviendo a registrar la OU o actualizando tu landing zone.
En una OU con más de 300 cuentas, debe resolver el problema realizando una actualización en cada cuenta trasladada, ya sea a través de la consola de AWS Control Tower o del producto aprovisionado, ya que volver a registrar la OU no realizará la actualización. Para obtener más información, consulte Actualice y mueva cuentas de fábrica con AWS Control Tower o con AWS Service Catalog.
-
Si se traslada una cuenta compartida: actualiza tu landing zone para resolver el problema que supone el traslado de la cuenta de auditoría o del archivo de registros. Para obtener más información, consulte Actualizar la zona de inicio.
-
Nombre de campo obsoleto
Se MasterAccountID ha cambiado el nombre del campo para ManagementAccountID cumplir con las AWS directrices. El nombre anterior está obsoleto. A partir de 2022, los scripts que contengan el nombre de campo obsoleto dejarán de funcionar.
Cuenta de miembro eliminada
Este tipo de desviación puede producirse cuando se elimina la cuenta de un miembro de una unidad organizativa de AWS Control Tower registrada. El siguiente ejemplo muestra la notificación de Amazon SNS cuando se detecta este tipo de desviación.
{ "Message" : "AWS Control Tower has detected that the member account012345678909has been removed from organizationo-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }
Resolución
-
Cuando se produce este tipo de error en la cuenta de un miembro, puede resolverlo actualizando la cuenta en la consola de AWS Control Tower o en Account Factory. Por ejemplo, puede añadir la cuenta a otra unidad organizativa registrada desde el asistente de actualización de Account Factory. Para obtener más información, consulte Actualice y mueva cuentas de fábrica con AWS Control Tower o con AWS Service Catalog.
-
Si se elimina una cuenta compartida de una OU fundamental, debes resolver el problema restableciendo tu landing zone. Hasta que no se resuelva este inconveniente, no podrá utilizar la consola de la Torre de Control de AWS.
-
Para obtener más información acerca de la resolución de desviaciones para cuentas y unidades organizativas, consulte Si administra recursos fuera de la Torre de Control de AWS.
nota
En Service Catalog, el producto aprovisionado por Account Factory que representa la cuenta no se actualiza para eliminarla. En su lugar, el producto aprovisionado se muestra como TAINTED y en un estado de error. Para limpiar, vaya al Service Catalog, elija el producto aprovisionado y, a continuación, elija Finalizar.
Actualización no programada para SCP administrada
Este tipo de desviación puede producirse cuando el SCP de un control se actualiza en la AWS Organizations consola o mediante programación mediante el SDK de AWS AWS CLI o uno de ellos. El siguiente es un ejemplo de la notificación de Amazon SNS cuando se detecta este tipo de desviación.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Resolución
Cuando se produce este tipo de desviación en una unidad organizativa con hasta 300 cuentas, puede resolverla de la siguiente manera:
-
Ir a la página de la organización en la consola de la Torre de Control de AWS para volver a registrar la OU (la opción más rápida). Para obtener más información, consulte Registrar una unidad organizativa existente en AWS Control Tower.
-
Actualización de tu landing zone (opción más lenta). Para obtener más información, consulte Actualizar la zona de inicio.
Cuando se produzca este tipo de desviación en una OU con más de 300 cuentas, resuélvala actualizando su landing zone. Para obtener más información, consulte Actualizar la zona de inicio.
SCP asociada a OU administrada
Este tipo de desviación puede producirse cuando un SCP de un control está conectado a cualquier otra OU. Esto es especialmente común cuando trabaja en sus unidades organizativas desde fuera de la consola de la Torre de Control Tower de AWS. El siguiente es un ejemplo de la notificación de Amazon SNS cuando se detecta este tipo de desviación.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Resolución
Cuando se produce este tipo de desviación en una unidad organizativa con hasta 300 cuentas, puede resolverla de la siguiente manera:
-
Ir a la página de la organización en la consola de la Torre de Control de AWS para volver a registrar la OU (la opción más rápida). Para obtener más información, consulte Registrar una unidad organizativa existente en AWS Control Tower.
-
Actualización de tu landing zone (opción más lenta). Para obtener más información, consulte Actualizar la zona de inicio.
Cuando se produzca este tipo de desviación en una OU con más de 300 cuentas, resuélvala actualizando su landing zone. Para obtener más información, consulte Actualizar la zona de inicio.
SCP desvinculada de OU administrada
Este tipo de desviación puede producirse cuando el SCP de un control se separa de una unidad organizativa gestionada por AWS Control Tower. Esto es especialmente común cuando se trabaja desde fuera de la consola de AWS Control Tower. El siguiente es un ejemplo de la notificación de Amazon SNS cuando se detecta este tipo de desviación.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Resolución
Cuando se produce este tipo de desviación en una unidad organizativa con hasta 300 cuentas, puede resolverla de la siguiente manera:
-
Navegar hasta la OU en la consola de la Torre de Control Tower de AWS para volver a registrar la OU (la opción más rápida). Para obtener más información, consulte Registrar una unidad organizativa existente en AWS Control Tower.
-
Actualización de tu landing zone (opción más lenta). Si la desviación afecta a un control obligatorio, el proceso de actualización crea una nueva política de control de servicios (SCP) y la adjunta a la OU para resolver la desviación. Para obtener más información sobre cómo actualizar tu landing zone, consultaActualizar la zona de inicio.
Cuando se produzca este tipo de desviación en una OU con más de 300 cuentas, resuélvala actualizando su landing zone. Si la desviación afecta a un control obligatorio, el proceso de actualización crea una nueva política de control de servicios (SCP) y la adjunta a la OU para resolver la desviación. Para obtener más información sobre cómo actualizar tu landing zone, consultaActualizar la zona de inicio.
SCP asociada a cuenta de miembro
Este tipo de desviación puede producirse cuando se adjunta un SCP de un control a una cuenta en la consola de Organizations. Las barandillas y sus SCP se pueden habilitar en las unidades organizativas (y, por lo tanto, se pueden aplicar a todas las cuentas inscritas de una unidad organizativa) a través de la consola de la Torre de Control de AWS. El siguiente es un ejemplo de la notificación de Amazon SNS cuando se detecta este tipo de desviación.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_ACCOUNT", "RemediationStep" : "Re-register this organizational unit (OU)", "AccountId" : "012345678909", "PolicyId" : "p-tEXAMPLE" }
Resolución
Este tipo de desviación se produce en la cuenta y no en la OU.
Cuando se produce este tipo de desviación en las cuentas de una unidad organizativa fundamental, como la unidad organizativa de seguridad, la solución es actualizar la landing zone. Para obtener más información, consulte Actualizar la zona de inicio.
Cuando este tipo de desviación se produce en una unidad organizativa no básica con hasta 300 cuentas, puede resolverla de la siguiente manera:
-
Separar el SCP de la AWS Control Tower de la cuenta de fábrica de la cuenta.
-
Navegar hasta la OU en la consola de la Torre de Control Tower de AWS para volver a registrar la OU (la opción más rápida). Para obtener más información, consulte Registrar una unidad organizativa existente en AWS Control Tower.
Cuando este tipo de error se produce en una unidad organizativa con más de 300 cuentas, puede intentar resolverlo actualizando la configuración de fábrica de la cuenta. Es posible que no sea posible resolverlo correctamente. Para obtener más información, consulte Actualizar la zona de inicio.
Se ha eliminado la unidad organizativa fundamental
Este tipo de desviación solo se aplica a las unidades organizativas fundamentales de AWS Control Tower, como la unidad organizativa de seguridad. Puede ocurrir si se elimina una unidad organizativa fundamental fuera de la consola de AWS Control Tower. Las unidades organizativas fundamentales no se pueden mover sin provocar este tipo de desviación, ya que mover una unidad organizativa equivale a eliminarla y, a continuación, añadirla a otro lugar. Cuando resuelva el problema actualizando su landing zone, AWS Control Tower sustituirá a la unidad organizativa fundamental de la ubicación original. El siguiente ejemplo muestra una notificación de Amazon SNS que puede recibir cuando se detecta este tipo de desviación.
{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }
Resolución
Como esta desviación se produce únicamente en las unidades organizativas fundamentales, la resolución es actualizar la zona de aterrizaje. Cuando se eliminan otros tipos de unidades organizativas, AWS Control Tower se actualiza automáticamente.
Para obtener más información acerca de la resolución de desviaciones para cuentas y unidades organizativas, consulte Si administra recursos fuera de la Torre de Control de AWS.
Desviación de control de Security Hub
Este tipo de desviación se produce cuando un control que forma parte del estándar AWS Security Hub gestionado por servicios: AWS Control Tower informa de un estado de desviación. El propio AWS Security Hub servicio no informa de un estado de desviación de estos controles. En su lugar, el servicio envía sus conclusiones a la Torre de Control de AWS.
La desviación de control del Security Hub también se puede detectar si AWS Control Tower no ha recibido una actualización de estado del Security Hub en más de 24 horas. Si esos resultados no se reciben como se esperaba, AWS Control Tower verifica que el control está a la deriva. El siguiente ejemplo muestra una notificación de Amazon SNS que puede recibir cuando se detecta este tipo de desviación.
{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "PYBETSAGNUZB", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "Region" : "us-east-1" }
Resolución
En el caso de las unidades organizativas con menos de 300 cuentas, la solución es volver a registrar la unidad organizativa, lo que restablece el control al estado original. Para cualquier unidad organizativa, puede eliminar y volver a activar el control a través de la consola o las API de la Torre de Control de AWS, que también restablecen el control.
Para obtener más información acerca de la resolución de desviaciones para cuentas y unidades organizativas, consulte Si administra recursos fuera de la Torre de Control de AWS.
Acceso de confianza desactivado
Este tipo de desviación se aplica a las zonas de aterrizaje de la Torre de Control de AWS. Se produce cuando inhabilita el acceso de confianza a la Torre de Control de AWS AWS Organizations después de configurar la zona de aterrizaje de la Torre de Control de AWS.
Cuando el acceso de confianza está deshabilitado, la Torre de Control de AWS ya no recibe eventos de cambio de AWS Organizations. AWS Control Tower se basa en estos eventos de cambio para mantenerse sincronizado. AWS Organizations Como resultado, es posible que AWS Control Tower no realice cambios organizativos en las cuentas y las unidades organizativas. Por eso es importante volver a registrar cada OU cada vez que actualice su landing zone.
Ejemplo: notificación de Amazon SNS
El siguiente es un ejemplo de la notificación de Amazon SNS que recibe cuando se produce este tipo de desviación.
{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }
Resolución
La Torre de Control de AWS le notifica cuando se produce este tipo de desviación en la consola de la Torre de Control de AWS. La solución es restablecer la zona de aterrizaje de la AWS Control Tower. Para obtener más información, consulte Resolver la desviación.
