Eventos del ciclo de vida en AWS Control Tower - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Eventos del ciclo de vida en AWS Control Tower

Algunos eventos registrados por AWS Control Tower son eventos del ciclo de vida. El propósito de un evento del ciclo de vida es marcar la finalización de determinadas acciones de la Torre de Control de AWS que cambian el estado de los recursos. Los eventos del ciclo de vida se aplican a los recursos que AWS Control Tower crea o administra, como las unidades organizativas (OU), las cuentas y los controles.

Características de los eventos del ciclo de vida de AWS Control Tower
  • En cada evento del ciclo de vida, el registro de eventos muestra si la acción de Control Tower de origen se completó correctamente o falló.

  • AWS CloudTrail registra automáticamente cada evento del ciclo de vida como un evento de AWS servicio ajeno a la API. Para obtener más información, consulte la Guía del AWS CloudTrail usuario.

  • Cada evento del ciclo de vida también se envía a los servicios Amazon EventBridge y Amazon CloudWatch Events.

Los eventos del ciclo de vida en AWS Control Tower ofrecen dos ventajas principales:
  • Como un evento del ciclo de vida registra la finalización de una acción de la Torre de Control de AWS, puede crear una EventBridge regla de Amazon o una regla de Amazon CloudWatch Events que pueda activar los siguientes pasos de su flujo de trabajo de automatización, en función del estado del evento del ciclo de vida.

  • Los registros proporcionan detalles adicionales para ayudar a los administradores y auditores a revisar ciertos tipos de actividad en las organizaciones.

Cómo funcionan los eventos del ciclo de vida

AWS Control Tower se basa en varios servicios para implementar sus acciones. Por lo tanto, cada evento del ciclo de vida se registra solo después de completar una serie de acciones. Por ejemplo, cuando habilita un control en una unidad organizativa, AWS Control Tower lanza una serie de subpasos que implementan la solicitud. El resultado final de toda la serie de pasos secundarios se registra en el registro como el estado del evento del ciclo de vida.

  • Si todos los pasos secundarios subyacentes se han completado correctamente, el estado del evento del ciclo de vida se registra como Succeeded (Correcto).

  • Si alguno de los pasos secundarios subyacentes no se ha completado correctamente, el estado del evento del ciclo de vida se registra como Failed (Error).

Cada evento del ciclo de vida incluye una marca de tiempo registrada que muestra cuándo se inició la acción de AWS Control Tower y otra marca de tiempo que muestra cuándo se completó el evento del ciclo de vida, lo que marca el éxito o el fracaso.

Visualización de eventos del ciclo de vida en Control Tower

Puede ver los eventos del ciclo de vida en la página Actividades del panel de control de AWS Control Tower.

  • Para navegar a la página Activities (Actividades), seleccione Activities (Actividades) en el panel de navegación izquierdo.

  • Para obtener más detalles acerca de un evento específico, seleccione el evento y, a continuación, haga clic en el botón View details (Ver detalles) en la parte superior derecha.

Para obtener más información sobre cómo integrar los eventos del ciclo de vida de la Torre de Control de AWS en sus flujos de trabajo, consulte esta entrada del blog, Uso de los eventos del ciclo de vida para realizar un seguimiento de las acciones de la Torre de Control de AWS y activar flujos de trabajo automatizados.

Comportamiento esperado CreateManagedAccount y eventos UpdateManagedAccount del ciclo de vida

Cuando crea una cuenta o inscribe una cuenta en AWS Control Tower, esas dos acciones utilizan la misma API interna. Si se produce un error durante el proceso, suele producirse después de crear la cuenta, pero no está completamente aprovisionada. Cuando vuelva a intentar crear la cuenta después del error o cuando intente actualizar el producto aprovisionado, AWS Control Tower comprobará que la cuenta ya existe.

Como la cuenta existe, AWS Control Tower registra el evento del UpdateManagedAccount ciclo de vida en lugar del evento del CreateManagedAccount ciclo de vida al final de la solicitud de reintento. Es posible que esperara ver otro CreateManagedAccount evento debido al error. Sin embargo, el evento UpdateManagedAccount del ciclo de vida es el comportamiento esperado y deseado.

Si planea crear o inscribir cuentas en AWS Control Tower mediante métodos automatizados, programe la función Lambda para que busque eventos del ciclo de vida y eventos UpdateManagedAccountdel ciclo de CreateManagedAccountvida.

Nombres de eventos del ciclo de vida

Cada evento del ciclo de vida recibe un nombre que corresponde a la acción originaria de la Torre de Control de AWS, que también registra AWS CloudTrail. Así, por ejemplo, se denomina un evento del ciclo de vida originado por el CreateManagedAccount CloudTrail evento de la Torre de Control de AWSCreateManagedAccount.

Cada nombre de la lista siguiente es un enlace a un ejemplo del detalle registrado en formato JSON. Los detalles adicionales que se muestran en estos ejemplos provienen de los registros de CloudWatch eventos de Amazon.

Aunque JSON no admite comentarios, se han añadido algunos comentarios a los ejemplos con fines explicativos. Los comentarios van precedidos por "//" y aparecen en el lado derecho de los ejemplos.

En estos ejemplos, se ocultan algunos nombres de cuentas y de organizaciones. Un accountId es siempre una secuencia de 12 números, que se ha sustituido por "xxxxxxxxxxxx" en los ejemplos. Un organizationalUnitID es una cadena única de letras y números. Su forma se conserva en los ejemplos.

  • CreateManagedAccount: El registro registra si AWS Control Tower completó correctamente todas las acciones para crear y aprovisionar una nueva cuenta mediante Account Factory.

  • UpdateManagedAccount: El registro registra si AWS Control Tower completó correctamente todas las acciones para actualizar un producto aprovisionado que está asociado a una cuenta que usted creó anteriormente mediante Account Factory.

  • EnableGuardrail: El registro registra si la Torre de Control de AWS ha completado correctamente todas las acciones para permitir el control de una unidad organizativa creada por la Torre de Control de AWS.

  • DisableGuardrail: El registro registra si la Torre de Control de AWS completó correctamente todas las acciones para deshabilitar un control en una unidad organizativa creada por la Torre de Control de AWS.

  • SetupLandingZone: El registro registra si AWS Control Tower completó correctamente todas las acciones para configurar una landing zone.

  • UpdateLandingZone: El registro registra si AWS Control Tower completó correctamente todas las acciones para actualizar su landing zone actual.

  • RegisterOrganizationalUnit: El registro registra si AWS Control Tower completó correctamente todas las acciones para habilitar sus funciones de gobierno en una unidad organizativa.

  • DeregisterOrganizationalUnit: El registro registra si AWS Control Tower completó correctamente todas las acciones para deshabilitar sus funciones de gobierno en una unidad organizativa.

  • PrecheckOrganizationalUnit: El registro registra si la Torre de Control de AWS detectó algún recurso que pudiera impedir que la operación de gobierno de Extend se completara correctamente.

En las siguientes secciones se proporciona una lista de los eventos del ciclo de vida de la Torre de Control de AWS, con ejemplos de los detalles registrados para cada tipo de evento del ciclo de vida.

CreateManagedAccount

Este evento del ciclo de vida registra si AWS Control Tower creó y aprovisionó correctamente una nueva cuenta mediante Account Factory. Este evento corresponde al evento de la Torre CreateManagedAccount CloudTrail de Control de AWS. El registro de eventos del ciclo de vida incluye el accountName y accountId de la cuenta recién creada y el organizationalUnitName y organizationalUnitId de la OU en la que se ha colocado la cuenta.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }

UpdateManagedAccount

Este evento del ciclo de vida registra si AWS Control Tower actualizó correctamente el producto aprovisionado asociado a una cuenta que se creó anteriormente mediante Account Factory. Este evento corresponde al evento de la Torre UpdateManagedAccount CloudTrail de Control de AWS. El registro de eventos del ciclo de vida incluye el accountName y accountId de la cuenta asociada y el organizationalUnitName y organizationalUnitId de la OU en la que se ha colocado la cuenta actualizada.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization management account. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"624281831893" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }

EnableGuardrail

Este evento del ciclo de vida registra si la Torre de Control de AWS habilitó correctamente un control en una unidad organizativa gestionada por la Torre de Control de AWS. Este evento corresponde al evento de la Torre EnableGuardrail CloudTrail de Control de AWS. El registro de eventos del ciclo guardrailBehavior de vida incluye las direcciones y direcciones del control organizationalUnitName y organizationalUnitId de la unidad organizativa en las que está activado el control. guardrailId

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }

DisableGuardrail

Este evento del ciclo de vida registra si la Torre de Control de AWS ha desactivado correctamente un control en una unidad organizativa gestionada por la Torre de Control de AWS. Este evento corresponde al evento de la Torre DisableGuardrail CloudTrail de Control de AWS. El registro de eventos del ciclo guardrailBehavior de vida incluye las direcciones guardrailId y direcciones del control organizationalUnitName y organizationalUnitId de la unidad organizativa en las que el control está desactivado.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }

SetupLandingZone

Este evento del ciclo de vida registra si AWS Control Tower configuró correctamente una landing zone. Este evento corresponde al evento de la Torre SetupLandingZone CloudTrail de Control de AWS. El registro de eventos del ciclo de vida incluye elrootOrganizationalId, que es el ID de la organización que AWS Control Tower crea a partir de la cuenta de administración. La entrada del registro también incluye la organizationalUnitName y organizationalUnitId para cada una de las unidades organizativas accountName y la y accountId para cada cuenta que se crean cuando AWS Control Tower configura la landing zone.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

UpdateLandingZone

Este evento del ciclo de vida registra si AWS Control Tower actualizó correctamente su landing zone actual. Este evento corresponde al evento de la Torre UpdateLandingZone CloudTrail de Control de AWS. El registro de eventos del ciclo de vida incluye elrootOrganizationalId, que es el ID de la organización (actualizada) gobernada por AWS Control Tower. La entrada del registro también incluye la organizationalUnitName y organizationalUnitId para cada una de las unidades organizativas accountName y la y accountId para cada cuenta que se creó anteriormente, cuando AWS Control Tower configuró originalmente la landing zone.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

RegisterOrganizationalUnit

Este evento del ciclo de vida registra si AWS Control Tower habilitó correctamente sus funciones de gobierno en una unidad organizativa. Este evento corresponde al evento de la Torre RegisterOrganizationalUnit CloudTrail de Control de AWS. El registro de eventos del ciclo de vida incluye la organizationalUnitName organizationalUnitId parte final de la unidad organizativa que AWS Control Tower ha incorporado bajo su control.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

DeregisterOrganizationalUnit

Este evento del ciclo de vida registra si AWS Control Tower ha desactivado correctamente sus funciones de gobierno en una unidad organizativa. Este evento corresponde al evento de la Torre DeregisterOrganizationalUnit CloudTrail de Control de AWS. El registro de eventos del ciclo organizationalUnitId de vida incluye la dirección organizationalUnitName y la unidad organizativa en la que AWS Control Tower ha desactivado sus funciones de gobierno.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", // Foundational OU name. "organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID. }, "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

PrecheckOrganizationalUnit

Este evento del ciclo de vida registra si AWS Control Tower realizó correctamente las comprobaciones previas en una OU. Este evento corresponde al evento de la Torre PrecheckOrganizationalUnit CloudTrail de Control de AWS. El registro de eventos del ciclo de vida contiene un campo para IdName, y failedPrechecks valores para cada recurso en el que AWS Control Tower haya realizado comprobaciones previas durante el proceso de registro de la OU.

El registro de eventos también contiene información sobre las cuentas anidadas en las que se realizaron las comprobaciones previas, incluidos los campos accountNameaccountId, y. failedPrechecks

Si el failedPrechecks valor está vacío, significa que todas las comprobaciones previas de ese recurso se han realizado correctamente.

  • Este evento se emite solo si se produce un error en la comprobación previa.

  • Este evento no se emite si se registra una unidad organizativa vacía.

Ejemplo de evento:

{ "eventVersion": "1.08", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2021-09-20T22:45:43Z", "eventSource": "controltower.amazonaws.com", "eventName": "PrecheckOrganizationalUnit", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "precheckOrganizationalUnitStatus": { "organizationalUnit": { "organizationalUnitName": "Ou-123", "organizationalUnitId": "ou-abcd-123456", "failedPrechecks": [ "SCP_CONFLICT" ] }, "accounts": [ { "accountName": "Child Account 1", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Child Account 2", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Management Account", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "MISSING_PERMISSIONS_AF_PRODUCT" ] }, { "accountName": "Child Account 3", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [] }, ... ], "state": "FAILED", "message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.", "requestedTimestamp": "2021-09-20T22:44:02+0000", "completedTimestamp": "2021-09-20T22:45:43+0000" } }, "eventCategory": "Management" }