Eventos del ciclo de vida de AWS Control Tower - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Eventos del ciclo de vida de AWS Control Tower

Algunos eventos registrados por AWS Control Tower sonEventos del ciclo de vida. El propósito de un evento del ciclo de vida es marcar elconclusiónde algunas acciones de AWS Control Tower que modifican el estado de los recursos. Los eventos del ciclo de vida se aplican a los recursos que AWS Control Tower crea o administra, como las unidades organizativas (OU), las cuentas y las medidas de seguridad.

Características de los eventos del ciclo de vida de la AWS Control Tower

  • En cada evento del ciclo de vida, el registro de eventos muestra si la acción de Control Tower de origen se completó correctamente o falló.

  • AWSCloudTrailregistra automáticamente cada evento del ciclo de vida como unaEvento de servicio AWS que no es API. Para obtener más información, consulteAWSCloudTrailGuía del usuario de .

  • Cada evento del ciclo de vida también se entrega a AmazonEventBridgey AmazonCloudWatchServicios de eventos de.

Los eventos del ciclo de vida de AWS Control Tower ofrecen dos ventajas principales:

  • Dado que un evento del ciclo de vida registra la finalización de una acción de la AWS Control Tower, puede crear un AmazonEventBridgeregla o AmazonCloudWatchRegla de eventos que puede desencadenar los siguientes pasos del flujo de trabajo de automatización, en función del estado del evento del ciclo de vida.

  • Los registros proporcionan detalles adicionales para ayudar a los administradores y auditores a revisar ciertos tipos de actividad en las organizaciones.

Cómo funcionan los eventos del ciclo de vida

AWS Control Tower se basa en varios servicios para implementar sus acciones. Por lo tanto, cada evento del ciclo de vida se registra solo después de completar una serie de acciones. Por ejemplo, cuando habilita una medida de seguridad en una OU, AWS Control Tower lanza una serie de pasos secundarios que implementan la solicitud. El resultado final de toda la serie de pasos secundarios se registra en el registro como el estado del evento del ciclo de vida.

  • Si todos los pasos secundarios subyacentes se han completado correctamente, el estado del evento del ciclo de vida se registra como Succeeded (Correcto).

  • Si alguno de los pasos secundarios subyacentes no se ha completado correctamente, el estado del evento del ciclo de vida se registra como Failed (Error).

Cada evento del ciclo de vida incluye una marca de tiempo registrada que muestra cuándo se inició la acción de la AWS Control Tower de y otra marca de tiempo que muestra cuándo se completa el evento del ciclo de vida, que marca el éxito o el error.

Visualización de eventos del ciclo de vida en Control Tower

Puede ver los eventos del ciclo de vida desde elActividadesen el panel de AWS Control Tower.

  • Para navegar a la página Activities (Actividades), seleccione Activities (Actividades) en el panel de navegación izquierdo.

  • Para obtener más detalles acerca de un evento específico, seleccione el evento y, a continuación, haga clic en el botón View details (Ver detalles) en la parte superior derecha.

Para obtener más información sobre cómo integrar eventos del ciclo de vida de AWS Control Tower en sus flujos de trabajo, consulte esta entrada de blog,Uso de eventos del ciclo de vida para realizar un seguimiento de las acciones de AWS Control Tower y activar flujos de trabajo automatizados.

Comportamiento esperado deCreateManagedCuenta yUpdateManagedEventos del ciclo de vida de la cuenta

Cuando crea una cuenta o inscribe una cuenta en AWS Control Tower, estas dos acciones llaman a la misma API interna. Si se produce un error durante el proceso, suele producirse después de crear la cuenta pero no se aprovisiona por completo. Cuando vuelve a intentar crear la cuenta después del error o cuando intenta actualizar el producto aprovisionado, AWS Control Tower ve que la cuenta ya existe.

Debido a que la cuenta existe, AWS Control Tower registra elUpdateManagedAccountevento de ciclo de vida en lugar delCreateManagedAccountevento de ciclo de vida al final de la solicitud de reintento. Es posible que hayas esperado ver otroCreateManagedAccountevento debido al error. Sin embargo, elUpdateManagedAccountel evento del ciclo de vida es el comportamiento esperado y deseado.

Si planea crear o inscribir cuentas en la AWS Control Tower mediante métodos automatizados, programa la función Lambda para que busqueUpdateManagedCuentaeventos del ciclo de vida, así comoCreateManagedCuentaEventos del ciclo de vida.

Nombres de eventos del ciclo de vida

Cada evento del ciclo de vida se denomina de forma que se corresponda con la acción de AWS Control Tower de origen, que también registra AWSCloudTrail. Así, por ejemplo, un evento del ciclo de vida originado por AWS Control TowerCreateManagedAccount CloudTrailse denomina eventoCreateManagedAccount.

Cada nombre de la lista siguiente es un enlace a un ejemplo del detalle registrado en formato JSON. Los detalles adicionales que se muestran en estos ejemplos se toman de AmazonCloudWatchRegistros de eventos de.

Aunque JSON no admite comentarios, se han añadido algunos comentarios a los ejemplos con fines explicativos. Los comentarios van precedidos por "//" y aparecen en el lado derecho de los ejemplos.

En estos ejemplos, se ocultan algunos nombres de cuentas y de organizaciones. Un accountId es siempre una secuencia de 12 números, que se ha sustituido por "xxxxxxxxxxxx" en los ejemplos. Un organizationalUnitID es una cadena única de letras y números. Su forma se conserva en los ejemplos.

  • CreateManagedAccount: el registro registra si AWS Control Tower ha completado correctamente todas las acciones para crear y aprovisionar una nueva cuenta mediante una fábrica de cuentas.

  • UpdateManagedAccount: el registro registra si AWS Control Tower ha completado correctamente todas las acciones para actualizar un producto aprovisionado asociado a una cuenta que ha creado anteriormente mediante una fábrica de cuentas.

  • EnableGuardrail: el registro registra si AWS Control Tower ha completado correctamente todas las acciones para habilitar una medida de seguridad en una OU creada por AWS Control Tower.

  • DisableGuardrail: el registro registra si AWS Control Tower ha completado correctamente todas las acciones para deshabilitar una medida de seguridad en una OU creada por AWS Control Tower.

  • SetupLandingZone: el registro registra si AWS Control Tower ha completado correctamente todas las acciones para configurar una landing zone.

  • UpdateLandingZone: el registro registra si AWS Control Tower ha completado correctamente todas las acciones para actualizar la landing zone existente.

  • RegisterOrganizationalUnit: el registro registra si AWS Control Tower ha completado correctamente todas las acciones para habilitar las características de gobernanza en una OU.

  • DeregisterOrganizationalUnit: el registro registra si AWS Control Tower ha completado correctamente todas las acciones para deshabilitar las características de gobernanza en una OU.

  • PrecheckOrganizationalUnit: El registro registra si la AWS Control Tower detectó algún recurso que pudiera impedir elAmpliar la gobernanzapara que se complete correctamente.

Las siguientes secciones proporcionan una lista de eventos del ciclo de vida de AWS Control Tower, con ejemplos de los detalles registrados para cada tipo de evento del ciclo de vida.

CreateManagedAccount

Este evento del ciclo de vida registra si AWS Control Tower ha creado y aprovisionado correctamente una nueva cuenta mediante una fábrica de cuentas. Este evento corresponde a AWS Control TowerCreateManagedAccount CloudTrailevent. El registro de eventos del ciclo de vida incluye el accountName y accountId de la cuenta recién creada y el organizationalUnitName y organizationalUnitId de la OU en la que se ha colocado la cuenta.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }

UpdateManagedAccount

Este evento del ciclo de vida registra si AWS Control Tower ha actualizado correctamente el producto aprovisionado asociado a una cuenta creada anteriormente mediante una fábrica de cuentas. Este evento corresponde a AWS Control TowerUpdateManagedAccount CloudTrailevent. El registro de eventos del ciclo de vida incluye el accountName y accountId de la cuenta asociada y el organizationalUnitName y organizationalUnitId de la OU en la que se ha colocado la cuenta actualizada.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization management account. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"624281831893" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }

EnableGuardrail

Este evento del ciclo de vida registra si AWS Control Tower ha habilitado correctamente una medida de seguridad en una OU administrada por AWS Control Tower. Este evento corresponde a AWS Control TowerEnableGuardrail CloudTrailevent. El registro de eventos del ciclo de vida incluye el guardrailId y guardrailBehavior de la medida de seguridad y el organizationalUnitName y organizationalUnitId de la OU en la que se ha habilitado la medida de seguridad.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }

DisableGuardrail

Este evento del ciclo de vida registra si AWS Control Tower ha deshabilitado correctamente una medida de seguridad en una OU administrada por AWS Control Tower. Este evento corresponde a AWS Control TowerDisableGuardrail CloudTrailevent. El registro de eventos del ciclo de vida incluye el guardrailId y guardrailBehavior de la medida de seguridad y el organizationalUnitName y organizationalUnitId de la OU en la que se ha deshabilitado la medida de seguridad.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }

SetupLandingZone

Este evento del ciclo de vida registra si AWS Control Tower ha configurado correctamente una landing zone. Este evento corresponde a AWS Control TowerSetupLandingZone CloudTrailevent. El registro de sucesos del ciclo de vida incluye elrootOrganizationalId, que es el ID de la organización que AWS Control Tower crea a partir de la cuenta de administración. La entrada de registro también incluye elorganizationalUnitNameyorganizationalUnitIdpara cada una de las OU, y elaccountNameyaccountIdpara cada cuenta, que se crea cuando AWS Control Tower configura la landing zone.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

UpdateLandingZone

Este evento del ciclo de vida registra si AWS Control Tower ha actualizado correctamente la landing zone existente. Este evento corresponde a AWS Control TowerUpdateLandingZone CloudTrailevent. El registro de sucesos del ciclo de vida incluye elrootOrganizationalId, que es el ID de la organización (actualizada) regida por AWS Control Tower. La entrada de registro también incluye elorganizationalUnitNameyorganizationalUnitIdpara cada una de las OU, y elaccountNameyaccountIdpara cada cuenta, creada anteriormente, cuando AWS Control Tower configuró originalmente la landing zone.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

RegisterOrganizationalUnit

Este evento del ciclo de vida registra si AWS Control Tower ha habilitado correctamente las características de gobernanza en una OU. Este evento corresponde a AWS Control TowerRegisterOrganizationalUnit CloudTrailevent. El registro de sucesos del ciclo de vida incluye elorganizationalUnitNameyorganizationalUnitIdde la OU que AWS Control Tower ha sometido a su gobernanza.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

DeregisterOrganizationalUnit

Este evento del ciclo de vida registra si AWS Control Tower ha deshabilitado correctamente las características de gobernanza en una OU. Este evento corresponde a AWS Control TowerDeregisterOrganizationalUnit CloudTrailevent. El registro de sucesos del ciclo de vida incluye elorganizationalUnitNameyorganizationalUnitIdde la OU en la que AWS Control Tower ha deshabilitado las características de gobernanza.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", // Foundational OU name. "organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID. }, "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

PrecheckOrganizationalUnit

Este evento del ciclo de vida registra si AWS Control Tower ha realizado correctamente las comprobaciones previas en una OU. Este evento corresponde a AWS Control TowerPrecheckOrganizationalUnit CloudTrailevent. El registro de sucesos del ciclo de vida contiene un campo para elId,Name, yfailedPrechecksvalores, para cada recurso en el que AWS Control Tower ha realizado comprobaciones previas durante el proceso de registro de la unidad organizativa.

El registro de eventos también contiene información sobre las cuentas anidadas en las que se realizaron las comprobaciones previas, incluida laaccountName,accountId, yfailedPrechecks.

Si el archivo defailedPrechecksvalor está vacío, significa que todas las comprobaciones previas de ese recurso se han superado correctamente.

  • Este evento se emite solo si se produce un error de comprobación previa.

  • Este evento no se emite si va a registrar una unidad organizativa vacía.

Ejemplo de evento:

{ "eventVersion": "1.08", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2021-09-20T22:45:43Z", "eventSource": "controltower.amazonaws.com", "eventName": "PrecheckOrganizationalUnit", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "precheckOrganizationalUnitStatus": { "organizationalUnit": { "organizationalUnitName": "Ou-123", "organizationalUnitId": "ou-abcd-123456", "failedPrechecks": [ "SCP_CONFLICT" ] }, "accounts": [ { "accountName": "Child Account 1", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Child Account 2", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Management Account", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "MISSING_PERMISSIONS_AF_PRODUCT" ] }, { "accountName": "Child Account 3", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [] }, ... ], "state": "FAILED", "message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.", "requestedTimestamp": "2021-09-20T22:44:02+0000", "completedTimestamp": "2021-09-20T22:45:43+0000" } }, "eventCategory": "Management" }